攻擊者正利用中間人技術繞過微軟郵件服務的多因素身份驗證
網絡安全研究公司Zscaler 警告稱——使用微軟電子郵件服務的用戶需提高警惕,因為他們剛剛發現了一種新型網絡釣魚活動。調查顯示,攻擊者正使用AiTM 中間人技術,來繞過當前的MFA 多因素身份驗證,且企業客戶很容易受到這方面的影響。
AiTM 工作原理(圖自:Microsoft官網)
顧名思義,AiTM 技術會將攻擊者置於通訊流程的中間節點,以攔截客戶端與服務器之間的身份驗證過程,從而在交換期間竊取登陸憑證。
換言之,MFA 多因素身份驗證信息本身,也會被攻擊者給盜用。Zcaler 旗下ThreatLabz 對本輪網絡釣魚活動展開了分析,並得出了以下幾個結論。
(1)首先,使用微軟電子郵件服務的企業客戶,成為了本輪大規模網絡釣魚活動的主要目標。
(2)其次,問題都源於攻擊者向受害者散播的帶有惡意鏈接的電子郵件。
(3)在Zscaler 發表文章時,攻擊仍處於活躍狀態。且幾乎每天,威脅行為者都會註冊新的釣魚郵件域名。
(4)在此情況下,一旦某位高管的商業電子郵件被此類釣魚攻擊所攻破,後續就會成為在企業內進一步散播的新感染源頭。
(5)包括美國、英國、新西蘭、澳大利亞在內的許多地區,其金融科技、貸款、保險、能源與製造等關鍵垂直行業,都成為了本輪攻擊的重點目標。
(6)為實現攻擊目的,幕後黑手使用了能夠繞過MFA 多因素身份驗證、基於代理的自定義網絡釣魚工具包。
(7)攻擊者擅於利用各種偽裝和瀏覽器指紋識別技術,以繞過URL 自動分析系統。
(8)結合諸多URL 重定向方法,以規避企業的電子郵件URL 分析解決方案。
(9)濫用CodeSandbox 和Glitch 等合法的線上代碼編輯服務,以延長攻擊活動的“質保期限”。
(10)Zscaler 還留意到,攻擊者註冊的某些域名,明顯山寨了美國聯邦信用合作社的名稱(存在故意的近似拼寫錯誤)。
最後,有關本輪AiTM 攻擊的更多細節,還請移步至Zscaler 官方博客查看(傳送門)。