一种新的电子邮件攻击方式:AiTM

星尘安全2024-09-21 19:14

新的攻击组利用合作伙伴组织之间的信任关系来绕过多重身份验证。

一种新的攻击方式开始出现,它利用合作伙伴组织之间的信任关系绕过多重身份验证。在一个利用不同组织之间关系的攻击中,攻击者成功地对四家或更多组织进行了商业电子邮件欺诈(BEC)攻击,他们利用这些组织之间的关系从一个被入侵的组织跳到下一个。这种方式,被微软研究员称为多阶段中间人(AiTM)网络钓鱼,一般始于一个可信供应商被攻击,通常针对银行和金融服务领域的组织。

"这种攻击展示了AiTM和BEC威胁的复杂性,它们滥用供应商、供应商和其他合作伙伴组织之间的信任关系,以进行金融欺诈"微软研究员说。

使用间接代理的网络钓鱼

AiTM网络钓鱼是一种常见的绕过多重身份验证机制的技术,这些机制依赖于用户在登录会话期间手动输入的一次性代码,无论接收方式如何:电子邮件、短信或由手机应用程序生成。执行AiTM的最常见方法是使用反向代理,其中受害者连接到攻击者控制的域和网站,该网站仅将来自目标服务登录页面的所有内容和后续请求代理到真实登录页。

在这种网络钓鱼实现中,可用的开源工具包现成可用,攻击者获得了在受害者和他们正在认证的服务之间流量被动的监视角色。目标是从服务中捕获在认证完成后中返回的会话cookie,然后滥用它来直接访问受害者的帐户。然而,如果中间也存在其他程序在捕获信息,攻击者使用这种方法就有缺陷,因为后续的攻击者登录可能触发安全警报并标记会话为可疑。

在微软观察到的新的攻击中,被称为Storm-1167的攻击者使用他们自己开发的定制的网络钓鱼工具包,并使用间接代理方法。这意味着攻击者设置的钓鱼页面不会从真正的登录页面代理任何内容,而是将其作为完全受攻击者控制的独立页面进行模仿。

当受害者与钓鱼页面交互时,攻击者使用受害者提供的凭据与真实网站启动登录会话,然后使用虚假提示向受害者请求MFA代码。如果提供了代码,攻击者将其用于自己的登录会话并直接颁发会话cookie。受害者然后被重定向到伪造页面。这更符合传统的网络钓鱼攻击。

"在这个使用间接代理的AiTM攻击中,由于钓鱼网站由攻击者设置,他们可以更多控制根据场景修改显示的内容,"微软研究员说。"此外,由于钓鱼基础设施由攻击者控制,他们有足够的灵活性创建多个服务器以逃避检测。与典型的AiTM攻击不同,这种方式没有在目标和实际网站之间代理HTTP数据包。"

建立持久的电子邮件访问并发起BEC攻击

一旦连接到受害者的帐户,攻击者就会生成一个新的访问代码,以延长他们的访问时间,然后继续向该帐户添加新的MFA身份验证方法,即使用带有伊朗号码的SMS服务。然后,他们创建一个电子邮件收件箱过滤规则,将所有传入的电子邮件移动到"存档"文件夹,并将其标记为已读。

攻击始于针对一家充当多个组织可信供应商的公司员工的网络钓鱼活动,攻击者使用指向Canva.com的URL,这是一个用于创建视觉演示文稿、海报和其他图形的免费在线图形设计平台。URL指向攻击者在Canva上创建的页面,该页面模仿OneDrive文档预览。如果单击该图像,将用户重定向到伪造的Microsoft登录页面进行身份验证。

在入侵供应商的电子邮件帐户后,攻击者从现有电子邮件中提取电子邮件地址,并发送了大约 16,000 封经过修改的恶意 Canva URL 的电子邮件。"攻击者随后监控了受害用户的邮箱中是否有未送达和外出的电子邮件,并将其从存档文件夹中删除,"Microsoft研究人员说。"攻击者阅读了收件人反馈的电子邮件,并对收件人对URL地址的质疑进行回应,以此让收件人确认该电子邮件是合法的。然后,将电子邮件和回复从邮箱中删除。

供应商网络钓鱼电子邮件的收件人被引导到类似的AiTM网络钓鱼页面,然后攻击链继续。来自不同组织的第二次网络钓鱼活动的受害者,其电子邮件帐户被入侵,并用于向合作伙伴组织发起下一步的网络钓鱼电子邮件。后续受害者的帐户以类似的方式遭到滥用。

与软件供应链攻击一样,这种多阶段AiTM网络钓鱼和BEC组合可能看到指数级的增长,并可能沿着信任链到达很远的地方。根据FBI互联网犯罪投诉中心(IC3)6月9日的一份新报告,2021年12月至2022年12月间,BEC诈骗造成的损失增加了17%。BEC攻击的目标通常是通过欺骗收件人发起恶意电汇、共享私人个人信息和财务信息或转移加密货币。IC3在过去10年中记录了277,918起国际BEC事件,造成超过500亿美元的损失。

"这种AiTM攻击使用间接代理是一个例子,说明威胁日益复杂和不断发展的TTPs,以规避和挑战常规解决方案和最佳实践,"微软研究员说。"因此,积极搜索和快速响应在保护组织网络方面变得更加重要,因为它为其他安全防护措施提供了附加的保障,并有助于解决防御绕过的一些问题。"

一些缓解解决方案包括使用无法通过 AitM 技术截获的 MFA 方法,例如使用 FIDO 2 密钥和基于证书的身份验证的方法。组织还可以实现条件访问策略,这些策略使用其他用户或设备标识信号(如 IP 位置或设备状态)检测登录请求。

文章来源:csoonline

相关推荐
光而不耀@lgy28 分钟前
C++初登门槛
linux·开发语言·网络·c++·后端
lkbhua莱克瓦2433 分钟前
用C语言实现——一个中缀表达式的计算器。支持用户输入和动画演示过程。
c语言·开发语言·数据结构·链表·学习方法·交友·计算器
Mr__Miss37 分钟前
面试踩过的坑
java·开发语言
啊丢_39 分钟前
C++——Lambda表达式
开发语言·c++
Chh07151 小时前
《R语言SCI期刊论文绘图专题计划》大纲
开发语言·r语言
Yeats_Liao1 小时前
Go 语言 TCP 端口扫描器实现与 Goroutine 池原理
开发语言·tcp/ip·golang
Thomas_YXQ2 小时前
Unity3D IK解算器技术分析
开发语言·搜索引擎·unity·全文检索·unity3d·lucene
浩浩测试一下2 小时前
计算机网络中的DHCP是什么呀? 详情解答
android·网络·计算机网络·安全·web安全·网络安全·安全架构
liuweidong08022 小时前
【Pandas】pandas DataFrame rsub
开发语言·python·pandas
蚁景网络安全2 小时前
从字节码开始到ASM的gadgetinspector源码解析
网络安全
热门推荐
01KGG转MP3工具|非KGM文件|解密音频02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03我决定放弃搞 Java 了04Coze扣子平台完整体验和实践(附国内和国际版对比)05YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】06DeepSeek各版本说明与优缺点分析07YOLOv5改进 | 添加CA注意力机制 + 增加预测层 + 更换损失函数之GIoU08苍穹外卖面试总结09yolov8,yolo11,yolo12 服务器训练到部署全流程 笔记10yolov8实战第五天——yolov8+ffmpg实时视频流检测并进行实时推流——(推流,保姆教学)