文章总结： 文档披露黑客利用微软Teams和QuickAssist发起社会工程攻击，通过邮件轰炸后冒充IT支持诱导员工授权远程访问。攻击者投放伪装的MSI安装程序，利用DLL侧加载和反沙箱技术部署名为A0Backdoor的内存驻留后门，并通过DNS隧道隐蔽通信。该活动关联BlackBasta勒索软件组织，表明旧战术结合新工具仍具威胁，建议加强防范。 综合评分： 85 文章分类： 社会工程学,恶意软件,威胁情报

黑客通过微软Teams攻击员工，诱骗他们授予远程访问权限

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月10日 12:52 北京

一场利用 Microsoft Teams 和 Windows Quick Assist 进行社交工程攻击的活动再次升级，BlueVoyant 警告称，攻击者在诱骗员工交出远程访问权限后，现在正在部署一种名为 A0Backdoor 的新型恶意软件家族。

该活动与之前与 Blitz Brigantine（也称为 Storm-1811）相关的策略重叠，Storm-1811是一个以经济利益为驱动的集群，微软已将其与 Black Basta 勒索软件行动联系起来。

据 BlueVoyant 称，这些攻击通常始于电子邮件轰炸，目标用户会被垃圾邮件淹没，然后有人会冒充内部 IT 支持人员通过 Microsoft Teams 与其联系。

攻击者主动提出帮助解决电子邮件问题，并说服该员工启动 Quick Assist，这是一个合法的微软远程支持工具，可以共享屏幕和控制设备。

微软此前曾警告称，Storm-1811 使用了相同的方法，在请求快速协助访问权限之前，使用虚假的帮助台帐户发送 Teams 消息和电话。

签名版 MSI 安装程序隐藏了一个新的后门

BlueVoyant 表示，一旦受害者批准会话，攻击者就会迅速部署伪装成 Microsoft Teams 相关组件和 CrossDeviceService 包的数字签名 MSI 安装程序。

在调查的案例中，部分 MSI 文件通过令牌化链接托管在微软的个人云存储上，这种交付方式使下载看起来更值得信赖，并可能使后续的取证收集变得复杂。

BlueVoyant 发现，安装程序会将文件放入模仿合法 Microsoft 软件位置的用户 AppData 路径中，然后依靠 DLL 侧加载来启动恶意代码。

该公司重点提及的一个样本 Update.msi 中包含了一个伪造的 hostfxr.dll，代替了合法的 Microsoft 签名 .NET 组件，这使得攻击者能够在与正常的 Windows 和 Microsoft 软件行为混淆的同时执行他们的加载程序。

该加载器旨在挫败防御者的企图。BlueVoyant 表示，它采用了运行时解密、大量线程创建以及反分析逻辑（包括检查 QEMU 等沙箱工具），然后再解锁下一阶段的有效载荷。

如果环境看起来不对劲，恶意软件可能会改变其密钥逻辑，导致解密失败，从而使样本在预期条件之外更难进行分析。

最后一个有效载荷是 BlueVoyant 称之为 A0Backdoor 的内存驻留后门，它会识别受感染的主机，然后通过隐蔽的 DNS 隧道进行通信，而不是更明显的直接连接。

该恶意软件不会直接向攻击者基础设施发送信标，而是向 1.1.1.1 等公共递归解析器发送 MX 记录查找请求，并将编码数据隐藏在 DNS 标签和响应中。

BlueVoyant 表示，这种设计有助于流量融入网络环境，并可能逃避针对基于 TXT 的 DNS 隧道或直接出站命令与控制会话的检测。

这场战役之所以重要，是因为它表明，自 2024 年以来防守者一直在追踪的同一套策略仍然有效，只是工具更新了，指挥控制也更加隐蔽了。

微软记录了早期的攻击链，即先进行 Teams 或基于语音的冒充，然后滥用 Quick Assist，接着部署后续工具，如 QakBot、Cobalt Strike、SystemBC，最终部署 Black Basta 勒索软件。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《黑客通过微软Teams攻击员工，诱骗他们授予远程访问权限》