据AT&T Cybersecurity 的研究显示，有一种新的网络钓鱼攻击通过 Microsoft Teams 群组聊天请求推送恶意附件，从而在受害者系统中安装 DarkGate 恶意软件。

据统计，攻击者现已发送了 1000 多个恶意 Teams 群聊邀请。一旦目标对象接受聊天请求，攻击者会诱骗他们下载一个使用双扩展名的文件，文件名为 "Navigating Future Changes October 2023.pdf.msi"，这是 DarkGate 常用的伎俩。

安装成功后恶意软件就会连接到其位于 hgfdytrywq[.]com 的命令控制服务器，Palo Alto Networks 已确认该服务器是 DarkGate 恶意软件基础架构的一部分。

由于在默认情况下，微软允许外部 Microsoft Teams 用户向其他用户发送消息，这才给了这种类型的网络钓鱼攻击可乘之机。

AT&T Cybersecurity 网络安全工程师Peter Boyle认为：除非日常的必要业务需使用，否则他建议大多数公司禁用 Microsoft Teams 中的外部访问，因为电子邮件相对来说是更安全、监控更严密的通信渠道。同时提醒用户警惕未经请求的信息来自何处。因为网络钓鱼的形式很多样，很可能不是那种典型的电子邮件钓鱼诈骗形式。

网络钓鱼群聊  图片来源： AT&T 网络安全

Microsoft Teams 拥有数量庞大的 2.8 亿用户，是威胁行为者眼中的一块“肥肉”。DarkGate 操作员正是利用这一点，通过 Microsoft Teams 推送恶意软件。

去年也出现过类似的活动，恶意行为者通过被入侵的外部 Office 365 账户和 Skype 账户发送包含 VBA 加载器脚本附件的消息来推送 DarkGate 恶意软件。

Storm-0324等初始访问代理借助名为TeamsPhisher的公开工具入侵企业网络，还利用Microsoft Teams进行网络钓鱼。尽管客户端保护措施本应阻止来自外部租户账户的文件传输，攻击者还是能够通过 TeamsPhisher 能够发送恶意有效载荷，

APT29 是俄罗斯对外情报局 (SVR) 的一个黑客部门，它利用这种方式攻击了全球数十个组织，包括政府机构。

DarkGate 恶意软件攻击激增

自去年 8 月 Qakbot 僵尸网络被捣毁后，网络犯罪分子更多地转向 DarkGate 恶意软件加载器，将其作为初始访问企业网络的首选。

而就在 Qakbot 僵尸网络被攻陷之前，有一个自称是 DarkGate 开发者的人曾试图在一个黑客论坛上出售价值 10 万美元的年度订购服务。DarkGate 的开发者称，它包含隐蔽的 VNC、绕过 Windows Defender 的工具、浏览器历史记录窃取工具、集成的反向代理、文件管理器和 Discord 令牌窃取器等功能。

在开发者发布消息后，就出现了越来越多的 DarkGate 攻击事件，网络犯罪分子采用包括网络钓鱼和恶意广告等多种传播方式。