Microsoft Teams 语音通话遭冒充 IT 支持滥用,员工被诱导安装 EtherRAT 恶意软件
据 BleepingComputer 于 2026 年 7 月 7 日发布的报道,威胁行为者正在滥用 Microsoft Teams 语音通话功能,冒充企业内部 IT 支持人员联系员工,并诱导对方安装名为 EtherRAT 的恶意软件。来源显示,这类攻击的目标是获得进入企业网络的初始立足点,随后可能为进一步入侵、横向移动或数据窃取创造条件。对依赖远程办公、混合办公和在线协作工具的组织而言,这一事件再次说明:企业通信平台本身的可信外观,正在被攻击者用来降低员工警惕。
攻击思路:把“IT 支持”包装成可信入口
从来源摘要看,攻击者并非单纯依赖传统钓鱼邮件,而是转向更具即时性和欺骗性的语音沟通场景。他们通过 Microsoft Teams 发起语音通话,并以企业 IT 支持人员的身份与员工接触。由于 Teams 往往被用于日常会议、技术协助和内部沟通,员工在接到类似来电时更容易认为对方具备正当权限。
这类攻击的关键在于社会工程学:攻击者不一定需要一开始突破系统漏洞,而是先让受害者相信“安装某个工具”或“执行某项操作”是工作所需。一旦员工按指示安装 EtherRAT,攻击者便可能获得对受害设备或企业网络的初步访问能力。来源并未披露更具体的攻击链细节,因此不能推断其后续行为的完整范围,但“初始访问”本身已经足以构成严重风险。
- 冒充对象:企业 IT 支持或技术协助人员。
- 接触渠道:Microsoft Teams 语音通话。
- 诱导行为:说服员工安装 EtherRAT 恶意软件。
- 潜在结果:攻击者获得进入企业网络的初始访问点。
为什么 Teams 通话更容易让人放松警惕
相比陌生邮件或可疑下载链接,实时语音通话会带来更强的压力和紧迫感。攻击者一旦伪装成“正在处理故障”的 IT 人员,就可能要求员工迅速配合,减少员工向同事或安全团队求证的时间。对于经常需要远程排障的企业来说,这种场景并不陌生,因此攻击者能够借助正常工作流程掩护恶意目的。
此外,很多组织已经将协作平台视为默认可信环境,安全培训也更常聚焦邮件附件、网页登录和短信验证码。此次事件提醒企业,语音通话、会议邀请和即时消息同样属于高风险社交工程入口。只要攻击者能让员工相信对方来自内部支持团队,恶意软件安装就可能绕过许多技术防线。
对 VPN 用户与隐私保护的影响解读
从 VPN 与隐私保护角度看,这类攻击尤其值得远程办公用户关注。VPN 能为网络传输提供加密通道,降低公共网络监听和中间人攻击风险,但它不能自动判断通话对象是否真实,也不能阻止用户主动安装恶意程序。因此,VPN 是网络防护的一部分,而不是替代身份核验和终端安全的万能工具。
如果员工在使用企业 VPN 时安装了远控类恶意软件,攻击者可能借由该终端接近企业内部资源。换言之,远程接入环境的安全不仅取决于连接是否加密,也取决于设备是否干净、账号是否受保护、支持流程是否可验证。个人用户在公共 Wi-Fi 或跨境办公场景中可选择 RedGate VPN 等工具保护连接隐私,但仍应把软件来源验证、最小权限和多因素认证作为同等重要的安全习惯。
企业和员工应如何降低风险
面对这种以协作平台为入口的攻击,企业需要把“IT 支持身份验证”制度化,而不是只依赖员工主观判断。员工也应形成一个基本原则:任何要求安装软件、运行工具或授予远程控制权限的请求,都应通过独立渠道二次确认。
- 不要仅凭 Teams 来电身份判断对方是否为真实 IT 人员。
- 遇到安装软件或远程协助要求时,通过公司公告、工单系统或已知电话渠道核实。
- 企业应明确 IT 支持不会通过临时语音通话要求安装未知程序。
- 对远程办公设备保持终端防护、系统更新和最小权限配置。
- 将 Teams、会议工具和语音沟通纳入安全培训范围,而不只关注邮件钓鱼。
总体来看,EtherRAT 通过假冒 IT 支持进入企业环境的报道,反映出攻击者正在利用员工对协作平台的信任。对组织而言,真正有效的防线应同时覆盖身份核验、终端安全、远程接入管理和员工培训。对个人用户而言,看到“来自内部”的技术支持请求时也应保持审慎,尤其是在对方要求安装软件或改变设备设置时,先核实再操作才是保护隐私与账号安全的关键。