关键词
威胁情报、微软卫士、钓鱼邮件
Microsoft Defender 专家发现了针对银行和金融服务组织的多阶段中间人 (AiTM) 网络钓鱼攻击和商业电子邮件妥协 (BEC) 攻击。该攻击源自妥协的受信任供应商,并转变为一系列 AiTM 攻击和跨越多个组织的后续 BEC 活动。这种攻击显示了 AiTM 和 BEC 威胁的复杂性,它们滥用供应商、供应商和其他合作伙伴组织之间的信任关系,意图进行金融欺诈。
图 1:跨越多个供应商和合作伙伴组织的 AiTM 和 BEC 攻击
虽然攻击通过典型的 AiTM 网络钓鱼攻击商业电子邮件妥协攻击实现了最终目,但值得注意的方面(例如使用间接代理而不是典型的反向代理技术)证明了这些威胁的不断演变。在此活动中使用间接代理为攻击者提供了可以根据他们的目标定制网络钓鱼页面并进一步实现他们窃取会话 cookie 的目标的控制和灵活性。通过会话重播攻击使用窃取的 cookie 登录后,威胁参与者利用尚未使用安全最佳实践配置的多因素身份验证 (MFA) 策略,以便在没有 MFA 检查的情况下更新 MFA 方法。随后是第二阶段的网络钓鱼活动,向目标联系人发送了 16,000 多封电子邮件。
这次攻击凸显了 AiTM 攻击的复杂性及其所需的全面防御。这种复杂的 AiTM 攻击需要的不仅仅是传统的身份泄露补救措施,例如密码重置。受影响的组织还需要撤销会话 cookie 并回滚威胁参与者所做的 MFA 修改。该事件还凸显了主动威胁搜寻的重要性,以便在先前已知的活动中发现新的 TTP来发现和补救这些类型的威胁。
为发起这次攻击,攻击者使用了 AiTM 网络钓鱼工具包,该工具包由 Microsoft 追踪为 Storm-1167 的威胁行为者开发、维护和操作。作为微软的威胁行为者跟踪和命名分类法的一部分,Microsoft 使用 Storm-#### 名称作为给未知的、新兴的或正在开发的威胁活动集群的临时名称,允许 Microsoft 将其作为一组独特的信息进行跟踪,直到我们对活动背后的参与者的来源或身份有很高的证据。
Adversary-in-the-middle ( T1557 , T1111 ) 是一种旨在拦截用户和合法身份验证服务之间的身份验证以泄露身份或执行其他操作的攻击类型。攻击者将自己置于用户和服务之间以窃取凭据并拦截 MFA 以捕获会话 cookie。然后,攻击者可以在令牌过期时间之前使用窃取的会话 cookie 重播会话,并在无需用户干预或 MFA 的情况下冒充用户。通过此会话,攻击者可以访问受影响用户的资源和应用程序,并执行商业电子邮件泄露攻击和其他恶意活动。有关 AiTM 活动的更多详细信息,请访问博客攻击者使用 AiTM 钓鱼网站作为进一步金融欺诈的切入点。
与我们之前报告的活动不同,这次攻击没有使用 EvilProxy 和 NakedPages 等 AiTM 工具包使用的反向代理方法,在这种反向代理方法中,攻击者的服务器代理来自应用程序合法登录页面的请求。相反,该攻击使用间接代理方法的 AiTM 攻击,其中攻击者向目标展示一个网站,该网站模仿目标应用程序的登录页面,就像传统的网络钓鱼攻击一样,托管在云服务上。上述登录页面包含从攻击者控制的服务器加载的资源,该服务器使用受害者的凭据启动与目标应用程序的身份验证提供程序的身份验证会话。
在这次使用间接代理方式的AiTM攻击中,由于钓鱼网站是由攻击者设置的,他们有更多的控制权可以根据场景修改显示的内容。此外,由于网络钓鱼基础设施由攻击者控制,他们可以灵活地创建多个服务器来逃避检测。与典型的 AiTM 攻击不同,目标和实际网站之间没有代理 HTTP 数据包。
当密码验证成功后请求 MFA 时,服务器会显示伪造的 MFA 页面。一旦用户提供了 MFA,攻击者就会在与身份验证提供程序的启动会话中使用相同的 MFA 令牌。身份验证成功后,会话令牌被攻击者获取,受害者被重定向到另一个页面。下图说明了在这种情况下观察到的 AiTM 攻击:
图 2:具有间接代理的 AiTM
我们使用 Storm-1167 AiTM 工具包对 AiTM 网络钓鱼攻击进行调查,揭示了导致 BEC 活动的活动的详细信息。在以下部分中,我们将深入分析端到端攻击链。
图 3:从 AiTM 钓鱼攻击到 BEC 的攻击链
阶段 1:通过受信任的供应商妥协邮件进行初始访问
攻击始于一封来自目标组织受信任供应商之一的网络钓鱼电子邮件。钓鱼邮件以七位数的代码作为主题发送。此代码对于每个目标组织都是唯一的,这可能是攻击者的跟踪机制。电子邮件正文包含查看或下载传真文档的链接。该链接指向托管在canva[.]com上的恶意 URL 。
从受信任的供应商发送网络钓鱼电子邮件是针对该威胁参与者在多个目标组织中观察到的常见行为之一。此行为的目的是滥用受信任的供应商关系并混入合法的电子邮件流量。一些目标组织制定了自动允许来自受信任供应商的电子邮件的策略,从而使攻击者能够绕过检测。
阶段 2:恶意 URL
威胁行为者经常滥用合法服务和品牌以避免被发现。在这种情况下,我们观察到攻击者利用合法服务 Canva 进行网络钓鱼活动。Canva 是一个图形设计平台,允许用户创建社交媒体图形、演示文稿、海报和其他视觉内容。攻击者滥用 Canva 平台托管一个页面,该页面显示虚假的 OneDrive 文档预览并链接到一个网络钓鱼 URL 的链接:
图 4:通往 AiTM 登陆页面的中间页面截图
阶段 3:AiTM 攻击
访问该 URL 会将用户重定向到托管在腾讯云平台上的钓鱼页面,该页面伪装了 Microsoft 登录页面。每个用户的最终 URL 都不同,但显示相同的欺骗性登录页面。
图 5:请求目标密码的虚假 Microsoft 登录页面
目标在网络钓鱼页面上提供密码后,攻击者随后在目标网站上创建的身份验证会话中使用凭据。当攻击者在身份验证会话中收到 MFA 提示时,攻击者将钓鱼页面修改为伪造的 MFA 页面(如下所示)。一旦目标完成多因素身份验证,会话令牌就会被攻击者捕获。
图 6:请求验证码的虚假 Microsoft MFA 页面
AiTM 攻击的网络钓鱼页面托管在位于印度尼西亚的 IP 地址上。还从相同的 IP 地址观察到以下部分中描述的后续登录。
阶段 4:会话 cookie 重放
在被盗会话 cookie 重放攻击中,攻击者使用有效的被盗 cookie 来冒充用户,绕过密码和 MFA 的身份验证机制。在此活动中,我们观察到攻击者在几个小时后从位于美国的 IP 地址使用窃取的 cookie 登录。攻击者通过会话重播攻击伪装目标,并访问了云端存储的电子邮件对话和文档。此外,攻击者生成了一个新的访问令牌,使他们能够在环境中持续更长时间。
阶段 5:MFA 方法修改
攻击者随后继续为目标帐户添加一种新的 MFA 方法,即通过基于电话的一次性密码 (OTP),以便使用未被发现的用户被盗凭据登录。默认情况下,添加新的 MFA 方法不需要重新验证。在此活动中,观察到的一个常见行为是,除了目标使用的现有方法之外,攻击者还添加了 OneWaySMS(一种基于电话的 OTP 服务)作为新的 MFA 方法。一个带有伊朗国家代码的电话号码被发现是用于接收基于电话的 OTP 的号码。
图 7:来自云应用程序活动日志的 MFA 配置更改
阶段 6:收件箱规则创建
之后攻击者使用新的会话令牌登录并创建了一个收件箱规则,其参数将用户邮箱中的所有传入电子邮件移动到存档文件夹并将所有电子邮件标记为已读。
图 8:收件箱规则创建
阶段 7:网络钓鱼活动
在创建收件箱规则之后,攻击者发起了一场大规模的网络钓鱼活动,涉及超过 16,000 封电子邮件,并略微修改了 Canva URL。电子邮件被发送给受感染用户在组织内外的联系人以及通讯组列表的联系人。收件人是根据受感染用户收件箱中最近的电子邮件线程来识别的。电子邮件的主题包含一个唯一的七位数代码,这可能是攻击者跟踪组织和电子邮件链的一种策略。
阶段 8:BEC战术
然后,攻击者监视受害用户的邮箱以查找未送达和不在办公室的电子邮件,并将它们从存档文件夹中删除。攻击者阅读了收件人的电子邮件,对收件人提出了关于网络钓鱼电子邮件真实性的问题并进行了回复,诱导收件人错误地确认电子邮件是合法的。然后从邮箱中删除了电子邮件和回复。这些技术在任何 BEC 攻击中都很常见,旨在让受害者不知道攻击者的操作,从而有助于持久性。
阶段 9:帐户泄露
单击恶意 URL 的组织内部网络钓鱼电子邮件的收件人也成为另一次 AiTM 攻击的目标。Microsoft Defender 专家根据登录 IP 和登录 IP 模式识别所有受感染的用户。
阶段 10:第二阶段BEC
据观察,攻击者从其中一名受到第二次 AiTM 攻击的用户的邮箱发起了另一场网络钓鱼活动。Microsoft 撤销了受感染用户的会话 cookie,干预了第二阶段的攻击。
使用相关安全终端检测与 AiTM 网络钓鱼攻击及其后续活动相关的可疑活动,例如会话 cookie 盗窃并尝试使用被盗的 cookie 登录 Exchange Online。为了进一步保护自己免受类似攻击,组织还应考虑使用条件访问策略来补充 MFA,其中使用额外的身份驱动信号(例如用户或组成员身份、IP 位置信息和设备状态等)来评估登录请求。
任何身份泄露的一般补救措施是为受损用户重置密码。然而在 AiTM 攻击中,由于登录会话被破坏,密码重置不是一个有效的解决方案。此外,即使重置受感染用户的密码并撤销会话,攻击者也可以设置持久性方法以通过篡改 MFA 以受控方式登录。例如,攻击者可以添加新的 MFA 策略以使用发送到攻击者注册手机号码的一次性密码 (OTP) 登录。有了这种持久性机制,尽管采取了传统的补救措施,攻击者仍可以控制受害者的帐户。
虽然 AiTM 网络钓鱼试图规避 MFA,但 MFA 的实施仍然是身份安全的重要支柱,并且在阻止各种威胁方面非常有效。MFA 是威胁行为者首先开发 AiTM 会话 cookie 窃取技术的原因。建议组织与其身份提供者合作,以确保诸如 MFA 之类的安全控制措施到位。Microsoft 客户可以通过各种方法实现,例如使用 Microsoft Authenticator、FIDO2 安全密钥和基于证书的身份验证。
防御者还可以使用以下解决方案和最佳实践来补充 MFA,以进一步保护其组织免受此类攻击:
-
使用安全默认值作为一组基准策略来改善身份安全状况。要进行更精细的控制, 请启用条件访问策略,尤其是基于风险的访问策略。 条件访问策略使用额外的身份驱动信号(如用户或组成员身份、IP 位置信息和设备状态等)评估登录请求,并针对可疑登录强制执行。组织可以通过启用合规设备、受信任的 IP 地址要求或具有适当访问控制的基于风险的策略等策略来保护自己免受利用被盗凭据的攻击。
-
实施持续访问评估。
-
投资先进的反网络钓鱼解决方案 ,监控和扫描传入的电子邮件和访问的网站。例如,组织可以利用自动识别和阻止恶意网站的 Web 浏览器,包括在这次网络钓鱼活动中使用的网站,以及检测和阻止恶意电子邮件、链接和文件的解决方案。
-
持续监控可疑或异常活动。寻找具有可疑特征(例如,位置、ISP、用户代理和匿名服务的使用)的登录尝试。
参考链接:https://www.microsoft.com/en-us/security/blog/2023/06/08/detecting-and-mitigating-a-multi-stage-aitm-phishing-and-bec-campaign/
编辑|逄思渊
审校|何双泽、王仁
本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。联系信息进入公众号后点击“关于我们”可见。
原文始发于微信公众号(国家网络威胁情报共享开放平台):微软揭露多阶段 AiTM 网络钓鱼和 BEC 攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论