据Bleeping Computer8月24日消息,一项新的商业电子邮件泄露 (BEC) 活动正将复杂的鱼叉式网络钓鱼与中间人攻击 (AiTM) 策略相结合,以入侵企业高管的 Microsoft 365 帐户,其中包括受多因素身份验证 (MFA) 保护的帐户。
Mitiga 的研究人员在一次事件响应案例中发现了这一活动,这是一种典型的商业电子邮件泄露攻击,目的是在入侵并监控首席执行官或首席财务官等高级员工的账户后适时进行通信,并在适当的时候回复电子邮件,将大笔资金交易转移到他们控制的银行账户。
在攻击开始时,攻击者会向目标发送谎称付款的公司银行账户由于财务审计而被冻结的钓鱼邮件,并附有新的付款指令,这些指令会切换到由攻击者控制的银行账户。
在Mitiga例举的一个攻击样例中,对公司高管的攻击始于一封看似来自 DocuSign 的网络钓鱼电子邮件,(DocuSign 是一种在企业环境中广泛使用的电子协议管理平台),虽然电子邮件没有通过 DMARC 检查,但 Mitiga 发现, DocuSign 针对垃圾邮件的常见安全错误配置有助于它进入目标的收件箱。单击“查看文档”按钮时,受害者会被带到一个欺骗域上的网络钓鱼页面,要求收件人登录到 Windows 域。
发送给目标高管的网络钓鱼邮件
攻击者被认为使用网络钓鱼框架(例如 Evilginx2 代理)来进行所谓的中间人攻击 (AiTM) 。在 AiTM 攻击期间, Evilginx2 等工具充当代理,位于网络钓鱼页面和目标公司的合法登录表单之间。由于代理位于中间,当受害者输入他们的凭证并解决 MFA 问题时,代理会窃取 Windows 域生成的Cookie。这时,可以将偷来的Cookie加载到他们自己的浏览器中,自动登录到受害者的账户中,并绕过MFA。
攻击者将手机添加为新的 MFA 设备
由于有效Cookie可能会过期或被撤销,因此攻击者会添加新的 MFA 设备并将其链接到被破坏的 Microsoft 365 帐户,这一举动不会生成任何警报或需要与原有帐户所有者进行进一步交互。
在 Mitiga 看到的案例中,攻击者添加了一部手机作为新的身份验证设备,以确保他们可以不间断地访问受感染的帐户。据研究人员称,攻击者正利用这种隐秘的漏洞几乎完全地访问 Exchange 和 SharePoint。根据日志,他们没有对受害者的收件箱采取任何行动,大概只是阅读电子邮件。
然而,攻击者可能正在等待合适的时机注入他们自己的电子邮件,以将发票付款转移到攻击者控制的银行账户中。
