随着企业协作工具的普及和远程办公的增多,微软Teams作为主流的通讯与协作平台,正成为网络攻击者的新兴目标。近期,安全研究人员发现黑客在利用微软Teams传播名为Matanbuchus 3.0的恶意软件,以获取目标企业的远程访问权限,并借此铺开更大规模的网络攻击。Matanbuchus系列恶意软件自2021年起便已有踪迹,但最新的3.0版本在隐匿性和灵活性上实现了重大突破,成为当下恶意软件市场中最危险的“恶意软件即服务”(MaaS)之一。Matanbuchus最初通过俄罗斯黑客论坛以每月两千五百美元的租赁价格出售,随着时间推移,其功能不断被完善,并逐渐扩展至通过钓鱼邮件、恶意广告、被劫持的网站及MSI安装包等方式进行传播。最新的Matanbuchus 3.0特别具备了改进的通信协议、内存执行能力以及对CMD和PowerShell反向Shell的支持,进一步加重了对传统安全防护的绕过难度。此次爆发的事件显示,攻击者通过模拟IT技术支持的身份,向受害者发起微软Teams的外部通话,诱导其启动Windows系统自带的Quick Assist远程协助工具。
借助远程协助界面,攻击者成功执行了一个PowerShell脚本,随即在目标系统中植入了Matanbuchus 3.0恶意负载。该恶意软件被设计用来收集系统信息,扫描正在运行的进程,判断安全软件的状态,并检测自身是否具备管理员权限。收集到的情报随后会被发送至攻击者控制的指挥与控制服务器(C2),以获取下一阶段的恶意载荷,包括MSI安装包和可执行文件。持久化方面,Matanbuchus采用了复杂的计划任务机制,通过COM接口与shellcode注入技术建立长期存在,强化了其恢复能力和隐蔽性。更为复杂的是,它支持远程执行命令,收集系统进程、服务和已安装软件列表,进一步扩大对被攻击设备的掌控范围。安全专家指出,Matanbuchus 3.0的强大功能不仅在于其技术层面的多样化,更因其依托于合法系统工具(如regsvr32、rundll32、msiexec等)来隐藏攻击行为,显示出攻击者对Living-off-The-Land Binaries(LOLBins)和COM对象劫持的熟练运用。
该恶意软件的服务版本根据功能分为HTTPS通道和DNS通道,月租价格分别为1万美元和1.5万美元,体现了该技术的市场价值和黑产组织的精细化运营。此次攻击事件中,黑客针对性极强,通过社会工程学手法成功骗取目标企业员工的信任与配合,将传统的远程协助工具变为攻击载体,充分利用了用户操作失误带来的安全漏洞。此类攻击与此前与Black Basta勒索软件链条类似,表明大型威胁组织正将协作平台作为潜在的攻击媒介。随着数字化转型的深入,企业对微软Teams等协作工具的依赖不断加深,使得这类平台也成为攻击面管理中不可忽视的薄弱环节。网络安全管理者必须意识到,仅依靠传统边界防护手段已无法全面保障安全。针对协同工具的风险防范,需要提升用户安全意识,强化多因素认证与访问权限管控,同时部署具有行为分析与内存检测功能的高级威胁防御系统。
相关研究也强调对于勒索软件前驱的加载器进行严密监测的重要性。Matanbuchus 3.0的多重逃避机制使得静态签名检测难以奏效,只有结合多维度的异常行为分析和实时动态防护技术,才能有效识别并阻断潜在威胁。企业应建立完善的事件响应流程,针对利用社交工程及协作工具传播的攻击做好充分准备。具体措施包括定期安全培训、模拟钓鱼演练、使用最小权限原则以及限制远程辅助工具的访问权限。此外,安全团队应密切关注网络中的异常连接和文件执行行为,及时与网络防御系统对接,快速识别和遏制恶意软件传播。整体来看,Matanbuchus 3.0的攻击案例揭示了现代攻击链日益复杂与隐蔽的趋势,提醒企业不能对常用工具掉以轻心。
微软Teams等协作平台的便利性固然不可否认,但其背后的安全风险同样亟须重视。只有加强安全架构的整体防御与人机结合的防护策略,才能有效应对以Matanbuchus 3.0为代表的新兴威胁,保障企业数字资产不受侵害。未来,随着技术的不断演进,恶意软件加载器将持续优化其隐蔽性和适应能力。防御方唯有不断更新防护思路,整合威胁情报与自动化响应,方能在日益激烈的网络攻防大战中立于不败之地。
