一个臭名昭著的勒索软件团伙正在传播假冒微软Teams广告以诱骗受害者
发布时间: November 4, 2025 at 04:11 PM
News Article
内容
最近,搜索微软Teams的用户需要格外小心,因为Rhysida勒索软件团伙一直在推送假广告,诱使人们下载恶意软件。网络安全公司Expel发现,这些误导性广告传播了一种名为OysterLoader的恶意软件,之前称为Broomstick和CleanUpLoader。这并非Rhysida首次冒充微软Teams;实际上,这是他们在过去一年半内的第二次活动。OysterLoader作为初始访问工具(IAT)运行,一旦安装,它会在受害者的设备和网络上打开后门,允许攻击者维持长期访问。\n\n这里的攻击方法相当巧妙,主要依赖恶意广告。Rhysida在必应搜索引擎上购买看似合法的广告,指向看似官方但实际上是恶意的下载页面。Expel的威胁情报分析师Aaron Walton解释说,这些广告使受害者很容易在搜索结果中找到并下载恶意软件。虽然微软Teams是当前的诱饵,该团伙此前也使用过PuTTY和Zoom等流行应用来诱骗受害者。\n\n为了增加检测难度,Rhysida使用打包工具掩盖恶意软件的真实功能,导致恶意软件首次出现时检测率较低。该团伙还使用通常保留给真实软件发布者的代码签名证书。这一伎俩提升了恶意文件的可信度,帮助他们避免立即被怀疑。有趣的是,这些证书往往很快被吊销,这实际上帮助安全公司在新一波活动开始时发现线索,因为新的证书意味着新批次恶意软件的发布。\n\n除了OysterLoader,Rhysida还部署了另一种名为Latrodectus的恶意软件用于初始网络访问。Expel在分析文件以制定检测规则时观察到了这一点。Rhysida在网络犯罪团伙中独树一帜,因为它利用微软的Trusted Signing服务获取代码签名证书——该服务旨在防止证书滥用。看起来他们已经找到绕过内置保护措施的方法。\n\n该团伙起源于2021年的Vice Society,2023年更名为Rhysida,采用勒索软件即服务(RaaS)模式并实施双重勒索策略。自那时起,他们在数据泄露网站上公开列出了约200名受害者,包括政府机构、医疗服务提供者和关键基础设施。今年的知名受害者包括俄勒冈州环境质量部、田纳西州库克维尔地区医疗中心、堪萨斯州向日葵医疗集团以及专注于精神疾病和成瘾的社区护理联盟。他们还针对了马里兰州交通部和英国图书馆。\n\n这些发展凸显了像Rhysida这样复杂勒索软件团伙持续带来的风险,他们不断调整战术以规避检测并最大化影响。这提醒组织和个人在从网络来源下载软件时务必保持警惕。始终通过官方渠道验证下载链接,以避免成为此类恶意计划的受害者。
关键见解
提取的关键事实包括Rhysida利用假冒微软Teams广告传播OysterLoader恶意软件,利用必应上的恶意广告,以及滥用微软Trusted Signing获取代码签名证书。
该团伙近期更名,采用RaaS双重勒索模式,目标涵盖政府和医疗等多个领域。
直接相关的利益相关者包括受害者、像Expel这样的网络安全公司以及被利用进行恶意广告的搜索引擎平台,间接受影响的群体包括更广泛的用户社区和关键基础设施网络。
即时影响表现为安全风险增加、潜在数据泄露和受害者运营中断,类似于此前利用软件漏洞和钓鱼技术的WannaCry和REvil勒索软件浪潮。
应对机制历来包括协调补丁发布、用户教育和执法行动,但攻击者的持续适应性对这些努力构成挑战。
未来预测表明,检测创新和更好的证书验证可能对抗此类威胁,尽管若无强有力的预防控制,攻击升级的风险依然存在。
从监管角度看,建议包括加强代码签名证书发放的严格监管(高优先级,中等复杂度)、增强恶意广告活动的实时监控(中优先级,高复杂度)以及推广以安全下载实践为重点的全面用户意识计划(高优先级,低复杂度)。
这一多方面策略旨在遏制访问途径、提升早期威胁识别并降低受害者易感性。