新的攻击组利用合作伙伴组织之间的信任关系来绕过多重身份验证。
一种新的攻击方式开始出现,它利用合作伙伴组织之间的信任关系绕过多重身份验证。在一个利用不同组织之间关系的攻击中,攻击者成功地对四家或更多组织进行了商业电子邮件欺诈(BEC)攻击,他们利用这些组织之间的关系从一个被入侵的组织跳到下一个。这种方式,被微软研究员称为多阶段中间人(AiTM)网络钓鱼,一般始于一个可信供应商被攻击,通常针对银行和金融服务领域的组织。
"这种攻击展示了AiTM和BEC威胁的复杂性,它们滥用供应商、供应商和其他合作伙伴组织之间的信任关系,以进行金融欺诈"微软研究员说。
使用间接代理的网络钓鱼
AiTM网络钓鱼是一种常见的绕过多重身份验证机制的技术,这些机制依赖于用户在登录会话期间手动输入的一次性代码,无论接收方式如何:电子邮件、短信或由手机应用程序生成。执行AiTM的最常见方法是使用反向代理,其中受害者连接到攻击者控制的域和网站,该网站仅将来自目标服务登录页面的所有内容和后续请求代理到真实登录页。
在这种网络钓鱼实现中,可用的开源工具包现成可用,攻击者获得了在受害者和他们正在认证的服务之间流量被动的监视角色。目标是从服务中捕获在认证完成后中返回的会话cookie,然后滥用它来直接访问受害者的帐户。然而,如果中间也存在其他程序在捕获信息,攻击者使用这种方法就有缺陷,因为后续的攻击者登录可能触发安全警报并标记会话为可疑。
在微软观察到的新的攻击中,被称为Storm-1167的攻击者使用他们自己开发的定制的网络钓鱼工具包,并使用间接代理方法。这意味着攻击者设置的钓鱼页面不会从真正的登录页面代理任何内容,而是将其作为完全受攻击者控制的独立页面进行模仿。
当受害者与钓鱼页面交互时,攻击者使用受害者提供的凭据与真实网站启动登录会话,然后使用虚假提示向受害者请求MFA代码。如果提供了代码,攻击者将其用于自己的登录会话并直接颁发会话cookie。受害者然后被重定向到伪造页面。这更符合传统的网络钓鱼攻击。
"在这个使用间接代理的AiTM攻击中,由于钓鱼网站由攻击者设置,他们可以更多控制根据场景修改显示的内容,"微软研究员说。"此外,由于钓鱼基础设施由攻击者控制,他们有足够的灵活性创建多个服务器以逃避检测。与典型的AiTM攻击不同,这种方式没有在目标和实际网站之间代理HTTP数据包。"
建立持久的电子邮件访问并发起BEC攻击
一旦连接到受害者的帐户,攻击者就会生成一个新的访问代码,以延长他们的访问时间,然后继续向该帐户添加新的MFA身份验证方法,即使用带有伊朗号码的SMS服务。然后,他们创建一个电子邮件收件箱过滤规则,将所有传入的电子邮件移动到"存档"文件夹,并将其标记为已读。
攻击始于针对一家充当多个组织可信供应商的公司员工的网络钓鱼活动,攻击者使用指向Canva.com的URL,这是一个用于创建视觉演示文稿、海报和其他图形的免费在线图形设计平台。URL指向攻击者在Canva上创建的页面,该页面模仿OneDrive文档预览。如果单击该图像,将用户重定向到伪造的Microsoft登录页面进行身份验证。
在入侵供应商的电子邮件帐户后,攻击者从现有电子邮件中提取电子邮件地址,并发送了大约 16,000 封经过修改的恶意 Canva URL 的电子邮件。"攻击者随后监控了受害用户的邮箱中是否有未送达和外出的电子邮件,并将其从存档文件夹中删除,"Microsoft研究人员说。"攻击者阅读了收件人反馈的电子邮件,并对收件人对URL地址的质疑进行回应,以此让收件人确认该电子邮件是合法的。然后,将电子邮件和回复从邮箱中删除。
供应商网络钓鱼电子邮件的收件人被引导到类似的AiTM网络钓鱼页面,然后攻击链继续。来自不同组织的第二次网络钓鱼活动的受害者,其电子邮件帐户被入侵,并用于向合作伙伴组织发起下一步的网络钓鱼电子邮件。后续受害者的帐户以类似的方式遭到滥用。
与软件供应链攻击一样,这种多阶段AiTM网络钓鱼和BEC组合可能看到指数级的增长,并可能沿着信任链到达很远的地方。根据FBI互联网犯罪投诉中心(IC3)6月9日的一份新报告,2021年12月至2022年12月间,BEC诈骗造成的损失增加了17%。BEC攻击的目标通常是通过欺骗收件人发起恶意电汇、共享私人个人信息和财务信息或转移加密货币。IC3在过去10年中记录了277,918起国际BEC事件,造成超过500亿美元的损失。
"这种AiTM攻击使用间接代理是一个例子,说明威胁日益复杂和不断发展的TTPs,以规避和挑战常规解决方案和最佳实践,"微软研究员说。"因此,积极搜索和快速响应在保护组织网络方面变得更加重要,因为它为其他安全防护措施提供了附加的保障,并有助于解决防御绕过的一些问题。"
一些缓解解决方案包括使用无法通过 AitM 技术截获的 MFA 方法,例如使用 FIDO 2 密钥和基于证书的身份验证的方法。组织还可以实现条件访问策略,这些策略使用其他用户或设备标识信号(如 IP 位置或设备状态)检测登录请求。
文章来源:csoonline