微軟已經披露了大規模,多階段網絡釣魚活動的詳細信息,該活動使用被盜的憑據在受害者的網絡上注冊設備,以進一步傳播垃圾郵件並擴大感染池。
這家科技巨頭表示,這些攻擊是通過使用多因素身份驗證(MFA)未受保護的帳戶表現出來的,從而使對手有可能利用目標的自帶設備(BYOD)策略,並使用竊取的憑據引入自己的流氓設備。
襲擊分兩個階段進行。”第一個活動階段涉及竊取主要位于澳大利亞,新加坡,印度尼西亞和泰國的目標組織的憑據,”Microsoft 365 Defender Threat Intelligence Team在本周發布的一份技術報告中表示。
“然後在第二階段利用被盜的憑據,攻擊者使用受損的帳戶通過橫向網絡釣魚擴大他們在組織內的立足點,並通過出站垃圾郵件擴展到網絡之外。
該活動開始時,用戶收到包含鏈接的DocuSign品牌網絡釣魚誘餌,該誘餌在單擊後將收件人重定向到僞裝成Office 365登錄頁面以竊取憑據的流氓網站。
憑據盜竊不僅導致不同公司的100多個郵箱受損,而且還使攻擊者能夠實施收件箱規則來阻止檢測。隨後是第二波攻擊,濫用缺乏MFA保護將非托管Windows設備注冊到公司的Azure ActiveDirectory(AD)實例並傳播惡意消息。
通過將攻擊者控制的設備連接到網絡,這種新技術使得擴大攻擊者的立足點,秘密地擴散攻擊並在整個目標網絡中橫向移動變得可行。
“爲了發起第二波浪潮,攻擊者利用目標用戶的受感染郵箱向受害者組織內外的8,500多名用戶發送惡意消息,”微軟表示。”這些電子郵件使用 SharePoint 共享邀請誘餌作爲郵件正文,試圖說服收件人共享的’付款.pdf’文件是合法的。
這一發展是因爲基于電子郵件的社交工程攻擊仍然是攻擊企業在受感染的系統上獲得初始進入和丟棄惡意軟件的最主要手段。
本月早些時候,Netskope Threat Labs披露了一項歸因于OceanLotus集團的惡意活動,該活動通過使用非標准文件類型(如Web存檔文件(.MHT) 附件,用于部署竊取信息的惡意軟件。
除了啓用 MFA 之外,實施良好的憑據衛生和網絡分段等最佳實踐還可以”增加試圖通過網絡傳播的攻擊者的’成本'”。
“這些最佳實踐可能會限制攻擊者在初始入侵後橫向移動和破壞資産的能力,並且應該輔以高級安全解決方案,以提供跨域的可見性並跨保護組件協調威脅數據,”微軟補充說。