VPN技术

Microsoft Teams 语音来电被冒充 IT 支持利用:员工安装 EtherRAT 后或导致企业网络失守

2026年7月7日 · admin
easyvpn24 ad

据 BleepingComputer 2026 年 7 月 7 日报道,近期有威胁行为者正在滥用 Microsoft Teams 语音通话,冒充企业内部 IT 支持人员联系员工,并诱导其安装名为 EtherRAT 的恶意软件。来源显示,一旦员工按对方指引完成安装,攻击者可能获得进入企业网络的初始访问权限。对跨境办公、海外协作团队和依赖云端身份体系的企业来说,这类攻击的风险不只在于单台电脑中毒,还可能进一步影响账号安全、远程访问链路和内部系统权限。

攻击方式:从“看似正常的 Teams 来电”开始

这起事件的关键点在于,攻击者并非单纯通过传统钓鱼邮件投递恶意附件,而是利用企业员工日常使用的协作工具发起语音通话。Microsoft Teams 在跨国公司、远程团队和外包协作场景中非常常见,员工对来自 Teams 的沟通往往天然降低警惕,尤其当对方自称是公司 IT 支持、账号管理员或安全运维人员时,更容易被引导执行操作。

来源摘要显示,攻击者会通过冒充企业 IT 支持人员,诱导受害者安装 EtherRAT。RAT 通常指远程访问木马,一旦运行,攻击者可能借此建立后门、查看环境信息,或为后续横向移动、凭据窃取和权限提升做准备。也就是说,一次语音通话可能成为企业网络入侵的入口

跨境用户为什么更容易受到影响

跨境业务环境下,员工经常同时处理多地账号、不同地区的 SaaS 平台、远程桌面、VPN、单点登录和支付后台。IT 支持也可能来自海外办公室或第三方服务商,因此“陌生口音、跨时区来电、远程协助安装工具”并不一定会被员工认为异常。这给攻击者伪装身份创造了空间。

对于运营海外电商、广告投放、云服务器、支付收单或企业账号的团队来说,如果员工终端被植入恶意软件,可能带来以下连锁风险:

  • 账号会话被窃取:浏览器 Cookie、登录状态或本地令牌可能成为攻击目标,影响 Microsoft 365、Google Workspace、云平台控制台等账号。
  • 支付与财务后台暴露:如果受害者常用设备登录收款、广告充值、订阅管理或企业银行相关页面,攻击者可能获取操作机会。
  • 远程办公入口被滥用:企业 VPN、远程桌面、堡垒机或内部工单系统一旦凭据泄露,攻击者可能进一步进入内网。
  • 跨区域团队沟通被混淆:攻击者可利用不同国家团队之间的信息差,冒充总部、区域 IT 或外包服务方下达“紧急修复”指令。

影响与解读:协作平台正在成为“可信入口”

这类事件说明,攻击者越来越倾向于利用企业已经信任的沟通平台,而不是只依赖垃圾邮件。Teams、Slack、Zoom、企业微信、飞书等工具本身并不等同于安全威胁,但它们承载了日常工作关系和权限协作,攻击者一旦能通过语音、会议或聊天制造可信场景,就可能绕过员工对外部邮件的戒备。

从防护角度看,企业不能只要求员工“不要点陌生链接”,还需要明确规定 IT 支持流程。例如,任何远程协助、软件安装、账号重置和安全工具部署,都应通过已知工单系统或内部公告确认,而不是仅凭一次来电执行。对于跨境团队,尤其要避免把“对方知道公司名称、部门名称或常用工具”作为可信依据,因为这些信息可能来自公开资料、社交平台或此前泄露的数据。

建议:先验证身份,再执行安装

面对此类 Teams 语音诈骗,跨境企业和个人远程办公用户可以采取几项基础措施。首先,接到自称 IT 支持的来电时,应通过企业通讯录、工单系统或已知频道反向确认身份;其次,不要在通话中按对方口头指令下载和安装未知程序;再次,管理员应限制普通员工安装软件的权限,并对远程访问工具、脚本执行和异常登录进行监控。

如果已经按照可疑来电安装过程序,应立即断开网络、联系真实 IT 或安全负责人,并尽快更改相关账号密码、撤销可疑会话、检查多因素认证设置。对经常跨境访问企业系统的用户而言,稳定、可信的访问环境很重要,但更关键的是建立身份验证和设备安全边界。VPN、远程桌面或协作软件都不能替代基本的账号与终端安全流程