微软警告针对超过10000家组织的大规模AiTM网络钓鱼攻击

微软周二透露，自2021 9月份以来，一场大规模的网络钓鱼活动通过劫持Office 365的身份验证过程，甚至在使用多因素身份验证（MFA）保护的帐户上，针对超过10000家组织。

该公司的网络安全团队报告称：“攻击者随后使用被盗的凭据和会话cookie访问受影响用户的邮箱，并针对其他目标执行后续商业电子邮件泄露（BEC）活动”。

入侵需要建立中间对手（AitM）仿冒网站，其中攻击者在潜在受害者和目标网站之间部署代理服务器，以便将仿冒电子邮件的收件人重定向到外观相似的登录页，以捕获凭据和MFA信息。

该公司解释说：“钓鱼网页有两个不同的传输层安全（TLS）会话，一个与目标有关，另一个与目标想要访问的实际网站有关”。

一旦掌握了这些信息，攻击者就会将cookies注入自己的浏览器以绕过身份验证过程，而不管受害者是否启用了MFA保护。

“会话cookie是web服务器的证据，证明用户已经过身份验证，并且在网站上有正在进行的会话，”微软解释道。“在AitM网络钓鱼中，攻击者试图获取目标用户的会话cookie，以便他们可以跳过整个身份验证过程并代表后者行事”。

 

这包括发送包含语音信息主题诱惑的电子邮件，这些诱惑标记为高度重要性，诱骗收件人打开带有恶意软件的HTML附件，这些附件重定向到窃取凭据的登录页。

为了完成这一诡计，用户最终被路由到合法办公室[.]com网站后身份验证，但不是在攻击者利用上述AitM方法虹吸会话cookie并获得对受损帐户的控制之前。

攻击并没有就此结束，因为威胁参与者滥用邮箱访问权限，利用一种称为电子邮件线程劫持的技术，欺骗对话另一端的各方，将资金非法电汇到他们控制的账户，从而进行支付欺诈。

为了进一步掩盖与欺诈目标的通信，威胁参与者还创建了邮箱规则，自动将包含相关域名的每封传入电子邮件移动到“存档”文件夹，并将其标记为“已读”

“在凭证和会话被盗后，攻击者只花了五分钟就发起了后续支付欺诈，”微软指出。

据称，攻击者在Chrome浏览器上使用Outlook Web Access（OWA）进行欺诈活动，同时还从帐户的收件箱文件夹中删除了原始的钓鱼电子邮件，以及从存档文件夹和发送邮件文件夹中与目标的后续通信，以清除痕迹。

研究人员说：“这场AiTM网络钓鱼活动是另一个例子，说明威胁如何随着组织为抵御潜在攻击而采取的安全措施和政策而不断演变”。

“虽然AiTM网络钓鱼试图绕过MFA，但需要强调的是，MFA的实施仍然是身份安全的重要支柱。MFA在阻止各种威胁方面仍然非常有效；它的有效性是AiTM网络钓鱼首先出现的原因”。

这些发现来自石溪大学和帕洛阿尔托网络公司的一组研究人员于去年晚些时候展示了一种新的指纹技术，该技术可以使用一种称为PHOCA的工具在野外识别AitM网络钓鱼工具包。

KnowBe4的安全意识倡导者埃里克·克伦（Erich Kron）在一份声明中表示：“随着组织和个人对账户启用多因素身份验证（MFA），这样的攻击变得越来越常见”。

“为了防止欺诈受害者点击链接的网络钓鱼电子邮件，组织应培训员工如何识别和报告网络钓鱼，并应定期使用模拟网络钓鱼攻击测试他们，使他们能够练习这些技能。此外，教育用户如何识别假登录页面将大大降低放弃凭据和会话的风险n饼干"。