微软警告说,网络攻击活动滥用企业环境中广泛使用的 SharePoint、OneDrive 和 Dropbox 等合法文件托管服务,将其作为一种防御规避策略。
这些攻击活动的最终目标广泛而多样,使威胁行为者能够破坏身份和设备,并进行商业电子邮件破坏(BEC)攻击,最终导致金融欺诈、数据外渗和横向移动到其他端点。
合法互联网服务(LIS)武器化是一种日益流行的风险载体,对手采用这种方式混入合法网络流量中,往往会绕过传统的安全防御措施,并使归因工作复杂化。
网络安全
这种方法也被称为 “脱离信任的网站”(LOTS),因为它利用人们对这些服务的信任和熟悉程度,绕过电子邮件安全防护网,传播恶意软件。
微软表示,自 2024 年 4 月中旬以来,它一直在观察利用合法文件托管服务的网络钓鱼活动的新趋势,这些活动涉及具有访问限制和仅可查看限制的文件。
商业电子邮件破坏攻击
此类攻击通常从入侵可信供应商内部的用户开始,利用访问权限在文件托管服务上放置恶意文件和有效载荷,以便随后与目标实体共享。
“通过钓鱼电子邮件发送的文件被配置为只有指定收件人才能访问,”它说。“这就要求收件人登录文件共享服务–无论是Dropbox、OneDrive还是SharePoint–或者通过输入电子邮件地址和通过通知服务收到的一次性密码(OTP)重新进行身份验证。
此外,作为网络钓鱼攻击一部分的共享文件被设置为 “只读 ”模式,无法下载和检测文件中的嵌入式 URL。
试图访问共享文件的收件人会被提示通过提供电子邮件地址和发送到其电子邮件帐户的一次性密码来验证身份。
网络安全
一旦成功获得授权,目标就会被指示点击另一个链接查看实际内容。然而,这样做会将他们重定向到一个中间对抗(AitM)网络钓鱼页面,从而窃取他们的密码和双因素身份验证(2FA)令牌。
这不仅使威胁者能够夺取账户控制权,还能利用账户实施其他诈骗,包括 BEC 攻击和金融欺诈。
商业电子邮件破坏攻击
“微软威胁情报团队表示:”虽然这些活动具有通用性和机会主义性质,但它们涉及复杂的技术,以执行社交工程、逃避检测并将威胁行为者的触角扩展到其他账户和租户。
Sekoia详细介绍了一种名为Mamba 2FA的新型AitM网络钓鱼工具包,该工具包以网络钓鱼即服务(PhaaS)的形式出售给其他威胁行为者,用于开展电子邮件网络钓鱼活动,传播冒充Microsoft 365登录页面的HTML附件。
该工具包以每月 250 美元的订购价格提供,支持 Microsoft Entra ID、AD FS、第三方 SSO 提供商和消费者账户。Mamba 2FA已于2023年11月投入使用。
“法国网络安全公司表示:”它可以处理非抗网络钓鱼 MFA 方法的两步验证,如一次性代码和应用程序通知。“窃取的凭证和 Cookie 会通过 Telegram 机器人即时发送给攻击者”。
发表评论
您还未登录,请先登录。
登录