一个你以为是同事的人,其实是攻击者
一名员工收到一条Microsoft Teams消息,发送方显示"IT Support",对方礼貌地告知其账户存在异常,需要远程协助处理。员工点击了"接受",启动了Quick Assist,输入了对方提供的六位数字……四小时后,公司的财务文件已被悄悄同步到攻击者的云存储。
这不是剧情片场景。2026年4月18日,微软官方安全博客正式披露了一种被称为"跨租户帮助台伪装"(Cross-Tenant Helpdesk Impersonation)的新型企业攻击手法,并将其定性为一种完整的"人工操控入侵剧本"(Human-Operated Intrusion Playbook)。
攻击为何如此难被识破
传统钓鱼攻击依赖恶意邮件和仿冒网站,而这次的攻击链几乎全程使用合法工具——Microsoft Teams、Windows Quick Assist、WinRM远程管理、商业RMM软件、Rclone云同步,每一个工具都是企业IT日常运维的标准配置。
攻击分为四个阶段:
- 阶段一:建立信任 — 攻击者利用Teams的"外部访问"功能发起跨租户聊天或通话,冒充"IT帮助台"人员。Teams界面上虽然标注了"External"标签,但大多数员工并不了解这一标识的含义,往往直接点击"接受"。
- 阶段二:获取控制权 — 诱导员工启动Windows内置的Quick Assist工具,输入对方提供的代码,并批准所有权限提示。Quick Assist是Windows 10/11自带工具,安全软件通常不会拦截。
- 阶段三:植入后门 — 获得屏幕控制后的1-2分钟内,攻击者运行PowerShell命令探测环境,随后通过DLL侧载技术将恶意模块注入受信任的签名程序,将加密C2配置写入注册表,通过443端口建立持久化的HTTPS回连通道。
- 阶段四:横向移动与数据外泄 — 利用WinRM(TCP 5985)访问其他域内机器,使用Rclone将精选业务文档同步到攻击者控制的云存储,全程与正常业务流量高度相似。
企业IT外包场景下的特殊风险
这种攻击手法对依赖IT外包服务的中小企业尤其危险。原因在于:外包服务本身就涉及大量的远程协助操作,员工长期习惯于接受来自"IT人员"的远程支持请求,对突如其来的Teams消息不会产生天然警惕。
更值得注意的是,攻击者往往事先通过信息收集,掌握了目标企业的IT外包商名称乃至负责人姓名,在Teams中冒充的账户显示名称与真实供应商高度一致,进一步降低了员工的防范意识。
| 传统钓鱼攻击 | Teams帮助台伪装攻击 |
|---|---|
| 通过钓鱼邮件发起 | 通过Teams即时消息发起 |
| 含恶意链接或附件 | 全程使用合法系统工具 |
| 邮件网关可拦截 | 绕过所有邮件安全策略 |
| 员工识别率较高 | 伪装成日常IT操作 |
| 入侵后需提权 | 用户主动授权,直接获得控制权 |
如何防御:技术与管理并重
微软在官方公告中给出了防御建议,结合我们的实际运维经验,整理如下:
技术层面:
- 在Teams管理中心限制外部用户的发起会话权限,或仅允许特定域的外部联系人;
- 通过组策略禁止普通用户使用Quick Assist(admx路径:计算机配置→管理模板→Windows组件→快速帮助);
- 对特权账户强制执行多因素认证(MFA)条件访问;
- 监控WinRM横向移动行为及Rclone等工具的异常使用;
- 部署支持Teams/身份/端点关联分析的EDR/XDR解决方案。
管理层面:
- 向全体员工明确:公司IT支持人员绝不会通过Teams主动要求使用Quick Assist进行远程控制;
- 建立统一的IT支持请求流程(如工单系统),任何绕过流程的"临时帮助"都应视为可疑;
- 定期进行社会工程学演练,帮助员工建立对"帮助台伪装"场景的识别能力;
- 对IT外包服务商的远程接入建立审批留痕机制。
写在最后
这次攻击最值得反思的地方在于——它利用的不是系统漏洞,而是人们对"熟悉工具"和"权威角色"的信任。当攻击者将Teams、Quick Assist这些员工每天使用的工具变成武器,技术防线的作用就大打折扣,最终还是要回到"员工安全意识"和"管理流程规范"这两条根本线上。
如果您的企业正在使用IT外包服务,建议立即与您的服务商沟通确认:是否已就此类攻击手法制定了应对规范,并对一线员工进行了针对性培训。这不是危言耸听,而是当前企业网络安全必须直面的现实。