1万多家企业遭到大规模AiTM网络钓鱼攻击

微软观察到，自2021年9月以来，已经有1万多家企业遭到AiTM 网络钓鱼攻击。攻击者使用中间对手 (AiTM) 网络钓鱼网站窃取密码、劫持用户的登录会话并绕过多因素身份验证。一旦获得访问用户邮箱的凭据和会话 cookie，攻击者就会针对其他目标发起商业电子邮件泄露 (BEC)活动。

在钓鱼攻击活动中，攻击者使用登陆页面欺骗Office在线认证页面，从而绕过多因素认证（MFA），实现劫持Office 365认证的目的。微软研究人员发现，该活动背后的运营商使用Evilginx2网络钓鱼工具包作为他们的 AiTM 基础设施。

同时，专家还观察到，潜在的受害者会收到一封使用HTML附件的钓鱼邮件，当目标点击时会被重定向到登陆页面，而HTML附件确保目标通过HTML重定向器发送。在窃取了目标的凭证和他们的会话Cookie后，这些攻击者会登录受害者的电子邮件账户，并使用受害者的访问权限进行针对其他组织的商业电子邮件泄露（BRC）活动。

针对这一些列的钓鱼活动，微软Microsoft 365 Defender研究团队和微软威胁情报中心称表示，该网络钓鱼活动中，使用中间人（AiTM）钓鱼网站窃取密码，劫持用户的登录会话，并跳过认证过程，即使用户已启用多因素认证（MFA）也难以防护。攻击者利用窃取的凭据和会话cookies访问受影响用户的邮箱，并对其他目标进行后续的商业电子邮件破坏（BEC）活动。

在几个开源网络钓鱼工具包的帮助下，此次网络钓鱼活动可实现自动化，包括广泛使用的Evilginx2、Modlishka和Muraena。该活动中使用的钓鱼网站托管在网络服务器上，目的是通过两个独立的传输层安全（TLS）会话，将目标的认证请求代理给他们试图登录的合法网站。

攻击者的钓鱼页面充当中间人，拦截认证过程，然后从被劫持的HTTP请求中提取包括密码和更重要的会话Cookies等敏感信息。攻击者获得目标的会话Cookie后，将其注入自己的网络浏览器，这样他们可以绕过MFA，实现跳过认证过程。然后在针对其他组织的商业电子邮件泄露（BRC）活动中使用他们窃取的访问权限。

安全建议

1、建议用户继续使用MFA并支持基于证书的认证和Fast ID Online (FIDO) v2.0；

2、建议用户监测可疑的登录尝试和邮箱活动；

3、采取有条件的访问策略，阻止攻击者使用不合规设备或不可信任的IP地址的被盗会话Cookies。

微软的报告指出，多因素身份验证（MFA）的实施仍然很重要，它能够建立多层次的防御，在阻止威胁方面很有效，其有效性是AiTM网络钓鱼首先出现的原因。为了保护用户的网络安全，建议用户要继续使用MFA。