微软披露了大规模、多阶段网络钓鱼活动的详细信息,该活动使用被盗凭据在受害者网络上注册设备,以进一步传播垃圾邮件并扩大感染池。
这家科技巨头表示,这些攻击通过未使用多因素身份验证 (MFA) 保护的账户表现出来,从而使对手有可能利用目标的自带设备 (BYOD) 政策并引入他们自己的使用窃取的凭据的恶意设备。
袭击分两个阶段进行,第一个活动阶段涉及窃取主要位于澳大利亚、新加坡、印度尼西亚和泰国的目标组织的凭据,Microsoft 365 Defender 威胁情报团队在本周发布的一份技术报告中表示。
然后在第二阶段利用被盗凭据,其中攻击者使用受感染的账户通过横向网络钓鱼以及通过出站垃圾邮件在网络之外扩展其在组织内的立足点。
该活动始于用户收到包含一个链接的 DocuSign 品牌网络钓鱼诱饵,单击该链接后,收件人将重定向到伪装成 Office 365 登录页面以窃取凭据的流氓网站。
凭据盗窃不仅导致不同公司的 100 多个邮箱遭到入侵,而且还使攻击者能够实施收件箱规则来阻止检测。紧随其后的是第二次攻击波,该波利用缺乏 MFA 保护将非托管 Windows 设备注册到公司的 Azure Active Directory ( AD ) 实例并传播恶意消息。
通过将攻击者控制的设备连接到网络,这项新技术可以扩大攻击者的立足点,秘密扩散攻击,并在目标网络中横向移动。
“为了发起第二波攻击,攻击者利用目标用户的受感染邮箱向受害组织内外的 8,500 多名用户发送恶意邮件,”微软表示。“这些电子邮件使用 SharePoint 共享邀请诱饵作为邮件正文,试图让收件人相信共享的 \'Payment.pdf\' 文件是合法的。”
随着基于电子邮件的社会工程攻击继续成为攻击企业获得初始入口并将恶意软件投放到受感染系统上的最主要手段,这一发展也随之而来。
本月早些时候,知名网络安全专家、东方联盟创始人郭盛华披露了一场归因于OceanLotus组织的恶意活动,该活动通过使用 Web 存档文件 (.MHT) 附件等非标准文件类型来部署信息窃取恶意软件来绕过基于签名的检测。
除了开启 MFA 之外,实施良好的网络凭证和网络分段等最佳实践可以“增加攻击者试图通过网络传播的‘成本’”。
微软补充说:“这些最佳实践可以限制攻击者在初始入侵后横向移动和破坏资产的能力,并且应该辅以高级安全解决方案,以提供跨域的可见性并跨保护组件协调威胁数据。” (欢迎转载分享)