HackerNews 编译，转载请注明出处： 一种名为“幽灵呼叫”（Ghost Calls）的新型攻击后命令与控制（C2）规避技术，通过滥用Zoom和Microsoft Teams等会议应用的TURN服务器，将流量隧道化传输至受信任的基础设施中。 幽灵呼叫技术利用合法凭证、WebRTC及定制工具，在不依赖漏洞利用的情况下，绕过了大多数现有防御和反滥用措施。 该新战术由Praetorian安全研究员Adam Crosser在BlackHat USA大会上公布，并强调红队（Red Teams）在执行渗透模拟演习时可使用该技术。 “我们利用专为实时、低延迟通信设计的网络会议协议，这些协议通过作为天然流量中继的全球分布式媒体服务器运行，”演示文稿摘要中写道。“这种方法使操作者能够将交互式C2会话融入正常的企业流量模式中，使其看起来就像临时加入了一个在线会议。” 幽灵呼叫如何运作 TURN（Traversal Using Relays around NAT）是一种网络协议，常见于视频通话、VoIP和WebRTC服务中。当设备位于NAT防火墙后无法直接连接时，它可帮助设备相互通信。 当Zoom或Teams客户端加入会议时，它会收到临时TURN凭证。幽灵呼叫技术可劫持这些凭证，在攻击者与受害者之间建立基于TURN的WebRTC隧道。该隧道可用于代理任意数据，或将C2流量伪装成通过Zoom或Teams使用的受信任基础设施传输的常规视频会议流量。 由于流量通过企业广泛使用的合法域名和IP地址路由，恶意流量可绕过防火墙、代理和TLS检测。此外，WebRTC流量是加密的，因此隐蔽性极佳。通过滥用这些工具，攻击者既能避免暴露自身域名和基础设施，又能享受高性能、可靠的连接，以及通过443端口同时使用UDP和TCP的适应性优势。相比之下，传统C2机制速度慢、特征明显，且通常缺乏支持VNC（虚拟网络计算）操作所需的实时交换能力。 TURNt工具 Crosser的研究最终开发出一款名为“TURNt”的自定义开源工具（可在GitHub获取），该工具可利用Zoom和Teams提供的WebRTC TURN服务器对C2流量进行隧道化传输。 TURNt包含两个组件：运行在攻击者端的控制器（Controller）和部署在已入侵主机上的中继器（Relay）。控制器运行一个SOCKS代理服务器，用于接收通过TURN隧道传输的连接。中继器使用TURN凭证回连控制器，并通过提供商的TURN服务器建立WebRTC数据通道。 TURNt可执行SOCKS代理、本地或远程端口转发、数据窃取，并支持隐蔽的VNC流量隧道传输。 尽管幽灵呼叫技术并未利用Zoom或Microsoft Teams的任何漏洞，BleepingComputer已联系两家供应商，询问其是否计划引入额外保障措施以降低该技术的可行性。将在收到任一方回复后更新本文。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，恶意软件加载器Matanbuchus正通过Microsoft Teams的社会工程攻击传播。攻击者伪装成IT服务台发起外部通话，诱骗目标启动Windows内置的远程工具快速助手（Quick Assist），随后引导用户执行PowerShell脚本。该脚本下载ZIP压缩包，内含三个通过DLL劫持技术部署Matanbuchus加载器的文件。 Matanbuchus恶意即服务（MaaS）背景 该恶意软件自2021年初在暗网以2500美元/月的租赁价格推广，是可直接在内存中执行恶意载荷的Windows加载器，旨在规避安全检测。2022年6月，威胁分析师Brad Duncan报告其被用于大规模垃圾邮件攻击，分发Cobalt Strike信标。 技术演进：Matanbuchus 3.0新特性 终端防护公司Morphisec分析指出，3.0版本具备显著增强的隐匿与攻击能力： 通信协议升级：C2通信与字符串混淆从RC4加密更换为Salsa20算法 内存规避技术：所有载荷均在内存中启动，消除磁盘痕迹 反沙盒检测：新增区域验证机制，确保仅在指定地理区域运行 系统调用隐匿：通过自定义shellcode执行系统调用，绕过Windows API包装层及EDR监控钩子 静态分析对抗：使用MurmurHash3非加密哈希函数混淆API调用，增加逆向工程难度 攻击链与后期能力 信息收集：获取用户名、域名、操作系统版本、EDR/杀毒软件进程列表、进程权限状态（管理员/普通用户） 载荷执行：支持CMD命令、PowerShell脚本、EXE/DLL/MSI文件及shellcode载荷 自适应攻击：C2服务器根据受害者安全环境动态调整攻击方式 Microsoft Teams滥用趋势 该协作工具近年频遭攻击者滥用： 2023年：研究人员利用软件漏洞实现外部账号恶意投递 2024年：DarkGate恶意软件运营商通过宽松的“外部访问”设置传播加载器 当前：Matanbuchus 3.0运营商将Teams作为初始入侵首选渠道       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

近日的一个Microsoft Teams小故障，却使得多个与Teams整合的Microsoft 365服务瘫痪，其中包括了Exchange Online、Windows 365和Office Online。 微软在其官方的微软365状态Twitter账户上向外界透露，他们收到了用户无法访问Microsoft Teams或使用Microsoft Teams功能的报告，导致此次问题的原因是最近关于Microsoft Teams的部署，该问题的关键是在于与内部存储服务的连接中断。 然而，Microsoft Teams并不是唯一受此故障影响的产品，因为用户也开始报告无法连接到各种Microsoft 365服务。微软证实了这些问题，并表示此次故障仅影响到Microsoft 365服务中与Microsoft Teams整合的部分。 “我们已经确定了对与Teams整合的多个Microsoft 365服务的下游影响，如Microsoft Word、Office Online和SharePoint Online。”微软解释说。 微软在Microsoft 365服务健康状态页面上发表了进一步的详细说明，告知受影响的客户可能会遇到以下问题中。 Microsoft Teams（访问、聊天和会议） Exchange Online (延迟发送邮件) 微软365管理中心（无法访问） 多个服务中的Microsoft Word（无法加载） Microsoft Forms (无法通过Teams使用) Microsoft Graph API (任何依赖此API的服务都可能受到影响) Office Online（Microsoft Word访问问题） SharePoint Online (Microsoft Word访问问题) 项目在线（无法访问） PowerPlatform和PowerAutomate（无法创建一个带有数据库的环境） 微软托管桌面内的自动补丁 Yammer (对Yammer实验的影响) Windows 365 (无法配置云电脑) 在将流量重定向到一个健康的服务器以减轻影响后，微软的遥测结果表明，Microsoft Teams的功能开始恢复。微软对外界进行了补充说明，并表示大部分服务已经恢复可用性，仅有少部分服务功能仍需要关注，微软也将继续监测服务，以确保该问题完全修复前，相关服务的状态不会出现波动。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339838.html 封面来源于网络，如有侵权请联系删除