微软透露,银行和金融服务组织是一种新的多阶段中间对手 ( AitM ) 网络钓鱼和商业电子邮件泄露 (BEC) 攻击的目标。
这家科技巨头在周四的一份报告中透露:“这次攻击起源于一家受感染的受信任供应商,并转变为一系列 AiTM 攻击和跨越多个组织的后续 BEC 活动。”
微软以其新出现的绰号Storm-1167跟踪该集群,指出该组织使用间接代理来发起攻击。
这使攻击者能够灵活地根据他们的目标定制网络钓鱼页面并进行会话 cookie 窃取,突显了 AitM 攻击的持续复杂性。
作案手法不同于其他 AitM 活动,在其他 AitM 活动中,诱饵页面充当反向代理,以获取受害者输入的凭据和基于时间的一次性密码 (TOTP)。
微软表示:“攻击者向目标展示了一个模仿目标应用程序登录页面的网站,就像传统的网络钓鱼攻击一样,托管在云服务上。所述登录页面包含从攻击者控制的服务器加载的资源,该服务器使用受害者的凭据启动与目标应用程序的身份验证提供程序的身份验证会话。”
攻击链从指向链接的网络钓鱼电子邮件开始,单击该链接后,受害者将重定向到访问欺骗性的 Microsoft 登录页面并输入他们的凭据和 TOTP。
然后使用获取的密码和会话 cookie 来冒充用户,并通过重放攻击获得对电子邮件收件箱的未授权访问。然后滥用访问权限来获取敏感电子邮件并策划 BEC 攻击。
更重要的是,一种新的基于 SMS 的双因素身份验证方法被添加到目标帐户,以便使用窃取的凭据登录而不会引起任何注意。
在微软分析的事件中,据说攻击者发起了大规模垃圾邮件活动,向受感染用户的组织内外联系人以及分发列表发送了 16,000 多封电子邮件。
还观察到对手采取措施最大限度地减少检测并通过响应传入的电子邮件并随后采取措施将其从邮箱中删除来建立持久性。
最终,网络钓鱼电子邮件的收件人成为第二次 AitM 攻击的目标,窃取他们的凭据并从其中一名用户的电子邮件收件箱中触发另一场网络钓鱼活动,该用户的帐户因 AitM 攻击而被黑客入侵。
“这次攻击显示了 AiTM 和 BEC 威胁的复杂性,这些威胁滥用供应商、供应商和其他合作伙伴组织之间的信任关系,意图进行金融欺诈,”该公司补充说。
不到一个月前,微软就BEC 攻击激增和网络犯罪分子采用的不断演变的策略发出警告,包括使用BulletProftLink等平台来创建工业规模的恶意邮件活动。
这家科技巨头表示,另一种策略需要使用住宅互联网协议 (IP) 地址,使攻击活动看起来像是本地生成的。
Redmond 解释说:“BEC 威胁行为者然后从与受害者位置匹配的住宅 IP 服务购买 IP 地址,创建住宅 IP 代理,使网络犯罪分子能够掩盖其来源。“现在,除了用户名和密码之外,有了本地化地址空间来支持他们的恶意活动,BEC 攻击者可以掩盖动作,规避‘不可能的旅行’标志,并打开一个网关来进行进一步的攻击。”
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...