據AT&T Cybersecurity 的研究顯示，有一種新的網絡釣魚攻擊通過 Microsoft Teams 群組聊天請求推送惡意附件，從而在受害者系統中安裝 DarkGate 惡意軟件。

據統計，攻擊者現已發送了 1000 多個惡意 Teams 群聊邀請。一旦目標對象接受聊天請求，攻擊者會誘騙他們下載一個使用雙擴展名的文件，文件名為 "Navigating Future Changes October 2023.pdf.msi"，這是 DarkGate 常用的伎倆。

安裝成功后惡意軟件就會連接到其位于 hgfdytrywq[.]com 的命令控制服務器，Palo Alto Networks 已確認該服務器是 DarkGate 惡意軟件基礎架構的一部分。

由于在默認情況下，微軟允許外部 Microsoft Teams 用戶向其他用戶發送消息，這才給了這種類型的網絡釣魚攻擊可乘之機。

AT&T Cybersecurity 網絡安全工程師Peter Boyle認為：除非日常的必要業務需使用，否則他建議大多數公司禁用 Microsoft Teams 中的外部訪問，因為電子郵件相對來說是更安全、監控更嚴密的通信渠道。同時提醒用戶警惕未經請求的信息來自何處。因為網絡釣魚的形式很多樣，很可能不是那種典型的電子郵件釣魚詐騙形式。

網絡釣魚群聊  圖片來源： AT&T 網絡安全

Microsoft Teams 擁有數量龐大的 2.8 億用戶，是威脅行為者眼中的一塊“肥肉”。DarkGate 操作員正是利用這一點，通過 Microsoft Teams 推送惡意軟件。

去年也出現過類似的活動，惡意行為者通過被入侵的外部 Office 365 賬戶和 Skype 賬戶發送包含 VBA 加載器腳本附件的消息來推送 DarkGate 惡意軟件。

Storm-0324等初始訪問代理借助名為TeamsPhisher的公開工具入侵企業網絡，還利用Microsoft Teams進行網絡釣魚。盡管客戶端保護措施本應阻止來自外部租戶賬戶的文件傳輸，攻擊者還是能夠通過 TeamsPhisher 能夠發送惡意有效載荷，

APT29 是俄羅斯對外情報局 (SVR) 的一個黑客部門，它利用這種方式攻擊了全球數十個組織，包括政府機構。

DarkGate 惡意軟件攻擊激增

自去年 8 月 Qakbot 僵尸網絡被搗毀后，網絡犯罪分子更多地轉向 DarkGate 惡意軟件加載器，將其作為初始訪問企業網絡的首選。

而就在 Qakbot 僵尸網絡被攻陷之前，有一個自稱是 DarkGate 開發者的人曾試圖在一個黑客論壇上出售價值 10 萬美元的年度訂購服務。DarkGate 的開發者稱，它包含隱蔽的 VNC、繞過 Windows Defender 的工具、瀏覽器歷史記錄竊取工具、集成的反向代理、文件管理器和 Discord 令牌竊取器等功能。

在開發者發布消息后，就出現了越來越多的 DarkGate 攻擊事件，網絡犯罪分子采用包括網絡釣魚和惡意廣告等多種傳播方式。