狡猾的新型钓鱼服务平台正盯上 Microsoft 365 云服务企业

Cisco Talos 研究员 Tiago Pereira表示：“目前，Greatness 只专注于 Microsoft 365 网络钓鱼页面，为其附属公司提供附件和链接生成器，以创建极具说服力的诱饵和登录页面。它包含的功能包括预先填写受害者的电子邮件地址，并显示从目标组织的真实 Microsoft 365 登录页面中提取的相应公司标志和背景图像。”

涉及 Greatness 的活动主要有位于美国、英国、澳大利亚、南非和加拿大的制造、医疗保健和技术实体，在2022年12月和2023年3月检测到活动激增。

像 Greatness 这样的网络钓鱼工具包为威胁行为者、新手或其他人提供具有成本效益且可扩展的一站式服务，使设计与各种在线服务相关的令人信服的登录页面并绕过双因素身份验证 (2FA) 保护成为可能。

具体来说，看起来真实的诱饵页面充当反向代理，以获取受害者输入的凭据和基于时间的一次性密码 (TOTP)。

攻击链从包含 HTML 附件的恶意电子邮件开始，打开后会执行混淆的 JavaScript 代码，将用户重定向到已预填收件人电子邮件地址的登录页面，并提示输入密码和 MFA 代码。

输入的凭据和令牌随后被转发到附属公司的电报频道，以获取对相关帐户的未授权访问。

AiTM网络钓鱼工具包还带有一个管理面板，使附属机构能够配置 Telegram 机器人、跟踪被盗信息，甚至构建诱杀附件或链接。

更重要的是，每个联盟都应该有一个有效的 API 密钥，以便能够加载网络钓鱼页面。API 密钥还可以防止不需要的 IP 地址查看网络钓鱼页面，并通过伪装成受害者来促进与实际 Microsoft 365 登录页面的幕后通信。

网络钓鱼工具包和 API 协同工作，执行‘中间人’攻击，请求受害者提供信息，然后 API 将实时提交到合法登录页面，如果受害者使用 MFA，这允许 PaaS 附属机构窃取用户名和密码，以及经过身份验证的会话 cookie。

据悉，微软从2023年5月8日起开始在 Microsoft Authenticator 推送通知中强制执行号码匹配，以改进并保护 2FA 抵御即时轰炸攻击。