出现新的钓鱼网络活动！能利用 Dropbox 基础设施绕过身份验证

钓鱼网络

Darktrace 的一项新研究显示，一种新型网络钓鱼活动利用了合法的 Dropbox 基础设施并成功绕过了多因素身份验证 （MFA） 协议。

这次攻击凸显了越来越多地利用合法的流行服务来诱骗目标下载恶意软件并泄露登录凭据。

研究结果还显示了攻击者如何善于逃避标准安全协议，包括电子邮件检测工具和MFA。

Darktrace 威胁研究主管 Hanah Darley 在接受 Infosecurity 采访时指出，虽然攻击者通过模仿用户收到的正常电子邮件来利用用户对特定服务的信任是很常见的，但在这种情况下，威胁行为者更进一步，利用合法的 Dropbox 云存储平台进行网络钓鱼攻击。

攻击者利用了 Dropbox 基础架构

攻击者于 2024 年 1 月 25 日瞄准了 Darktrace 客户，该组织 SaaS 环境中的 16 名内部用户收到了一封来自“no-reply@dropbox”的电子邮件。com.' 这是 Dropbox 文件存储服务使用的合法电子邮件地址。

该电子邮件包含一个链接，该链接会将用户引导至托管在Dropbox上的PDF文件，该文件似乎是以该组织的合作伙伴命名的。

此 PDF 文件包含指向以前在客户环境中从未见过的域的可疑链接，名为“mmv-security[.]顶部。

研究人员指出，恶意或良性电子邮件与Dropbox等合法服务使用的自动电子邮件“几乎没有区别”。因此，这种方法可以有效地规避电子邮件安全工具并说服目标点击恶意链接。

这封电子邮件是由 Darktace 的电子邮件安全工具检测并保存的。然而，在1月29日，一位用户收到了另一封来自合法的无reply@dropbox的电子邮件。com 地址，提醒他们打开之前共享的 PDF 文件。

尽管该消息已移至用户的垃圾邮件文件中，但该员工继续打开可疑电子邮件并点击指向 PDF 文件的链接。连接到恶意链接 mmv-security[.] 的内部设备几天后顶部。

此链接指向一个虚假的 Microsoft 365 登录页面，旨在收集合法 SaaS 帐户持有人的凭据。

研究人员补充说，冒充Microsoft等受信任组织的方法是向目标展示合法的有效方式。

攻击者成功绕过了 MFA

1 月 31 日，Darktrace 从多个以前从未访问过该帐户的不寻常位置观察到几个可疑的 SaaS 登录。

随后在 2 月 1 日的异常登录与 ExpressVPN 相关联，表明威胁行为者使用虚拟专用网络 （VPN） 来掩盖他们的真实位置。

这些登录似乎使用了有效的 MFA 令牌，这表明攻击者已成功绕过组织的 MFA 策略。

研究人员认为，一旦员工泄露了凭据，他们可能在不知不觉中批准了在自己的设备上进行身份验证的 MFA 身份验证请求。

研究人员写道：“通过使用有效的令牌并满足必要的MFA要求，威胁行为者通常能够不被将MFA视为银弹的传统安全工具所发现。

尽管攻击者使用合法凭据绕过 MFA，但在识别 SaaS 帐户上的意外活动后，该组织的安全团队仍收到可疑活动的警报。

Darley告诉Infosecurity，这一事件表明，组织不能再依赖MFA作为抵御网络攻击者的最后一道防线。

“在这种情况下，MFA 绕过现在是攻击者经常使用的策略——特别是考虑到它成功地授予了对共享资源（如可被利用的 SharePoint 文件）的访问权限，”她概述道。

威胁参与者表现出持久性

在绕过 MFA 后不久，Darktrace 观察到另一个使用 HideMyAss VPN 服务异常登录 SaaS 帐户。

在这种情况下，威胁参与者在受感染的 Outlook 帐户上创建了一个新的电子邮件规则，旨在立即将组织帐户团队中的任何电子邮件直接移动到“对话历史记录”邮箱文件夹。

研究人员表示，这种方法旨在避免被发现 - 通过将他们的恶意电子邮件和对它们的任何回复移动到不太常访问的邮箱文件夹。

此外，该演员还发送了主题行的后续电子邮件，例如“合同不正确”和“需要紧急审查”。

研究人员指出：“这可能代表威胁行为者使用受感染的帐户向组织的帐户团队发送进一步的恶意电子邮件，以感染客户SaaS环境中的其他帐户。

网络钓鱼攻击是有针对性的和复杂的

研究人员指出，攻击者滥用Dropbox等合法的第三方解决方案进行网络钓鱼攻击是“相对简单的”，而不是依靠他们自己的基础设施。

Darley评论说：“该案例研究凸显了网络犯罪分子在执行分阶段攻击方面变得多么复杂。这些电子邮件本身来自Dropbox的合法'无回复'地址，该地址通常会向客户发送通知或链接。

“电子邮件中包含的链接也指向一个合法的Dropbox存储端点，该端点托管了恶意文件。它被伪装成合作伙伴文件，使电子邮件看起来合法，“她补充道。

生成式 AI 协助攻击者

Darley指出，生成式AI技术在使攻击者能够制作更复杂的网络钓鱼消息方面产生了巨大影响。

Darktrace 的 2023 年年终威胁报告发现，在 2023 年下半年观察到的超过 25% 的网络钓鱼案例包含超过 1000 个字符，这主要是由于生成式 AI 提供的功能。

“这些不是只有几个字和一个狡猾链接的'有效载荷'电子邮件，而是精心制作和冗长的。还有一些增强的社会工程案例，攻击者会进入现有的对话线程，冒充同事或已知联系人，试图模仿通信的语气，“达利解释说。

她补充说：“生成式人工智能正在实现这些更复杂的实例，这让不良行为者有更多时间花在制定更大规模攻击的策略上。

原文始发于微信公众号（安全圈）：【安全圈】出现新的钓鱼网络活动！能利用 Dropbox 基础设施绕过身份验证