攻击者如何迫使微软发送钓鱼邮件

攻击者热衷于利用合法平台，使用 Gamma、Canva 和谷歌云端硬盘等工具托管钓鱼页面及其他恶意内容。但近期出现了一种新的平台滥用模式：威胁分子不再仅仅在可信服务上托管内容，而是操纵平台自身的基础设施来发起攻击。

在此次新发现的攻击活动中，攻击者利用微软 Entra ID（前身为 Azure AD）的租户品牌功能，将诈骗消息直接注入合法的微软系统通知中。这种技术将平台本身变成了不知情的帮凶，迫使其代表攻击者发送恶意消息。

这种系统通知滥用攻击构建了一个在技术上每一步都 "真实可信" 的钓鱼流程。由于消息源自微软的合法基础设施，它们能够通过基于域名的电子邮件身份验证标准。这种技术上的真实性，再加上用户对官方安全通信的固有信任，使得攻击者甚至能骗过具备安全意识的收件人。

与传统冒充微软的欺骗攻击不同，此次攻击活动迫使微软的合法基础设施代表威胁分子发送钓鱼邮件。总体思路如下：注册一次性微软365免费租户 → 修改租户名称为钓鱼诈骗文本 → 批量创建租户内普通用户 → 为每个用户添加目标邮箱作为"备用验证邮箱" → 微软自动向目标发送包含"钓鱼内容+OTP验证码"的官方邮件 → 用户看到紧急财务警报

为了解这一威胁的规模，研究团队分析了来自 250 多个被滥用的微软 365 租户的 2000 条独特消息。数据显示，这是一个组织严密的 "即用即弃" 式运营，攻击者通过脚本创建一次性租户，并使用特定的规避技术发起攻击：

• 主题行劫持

  在租户名称字段中注入 60 多个字符的诈骗文本，将合法的系统文本挤出屏幕显示范围。

• 混淆处理

  使用字符替换（例如将 "a" 替换为波兰语的 "ą"）和同形异义字来绕过光学字符识别（OCR）和关键词拦截器。

• 正则表达式规避

  通过用字母替换数字（例如将 "0" 换成 "O"）来格式化电话号码，使安全网关失效。

攻击始于恶意行为者创建一个一次性的微软 365 租户。与被攻陷的合法账户不同，这些是专门构建的恶意实例，或是在onmicrosoft[.]com子域名上注册的免费试用版。

核心漏洞在于微软 Entra ID 中的租户品牌配置。攻击者进入租户属性页面，修改 "名称" 字段，使其包含虚假的财务警报消息。

在此次特定攻击中，他们将租户名称更改为："您通过 PayPal 完成了价值 498.95 美元的比特币购买。如需取消或续订，请拨打支持热线 802 538 3069。"

为了迫使微软向目标发送邮件，攻击者利用了合法的安全信息注册门户：

1. 在恶意租户中创建大量不同的用户（例如CarlyVargas@Williford316.onmicrosoft[.]com）。

2. 登录该用户的 "我的账户" 页面，具体是安全信息页面（mysignins.microsoft[.]com/security-info）。

   

3. 选择 "添加登录方法"，然后选择 "电子邮件"。

   

4. 在输入框中，输入目标的电子邮件地址，而非自己的邮箱。

   

此操作会触发微软的自动安全逻辑，生成一次性密码（OTP）以验证该 "备用" 电子邮件地址。

攻击者很可能使用脚本自动化完成整个设置流程，从而快速创建租户并大规模注入这些有效载荷。这一点通过微软图形 PowerShell 软件开发工具包（特别是New-MgUserAuthenticationMethod cmdlet）即可轻松实现，该工具允许威胁分子通过编程方式，在单次操作中为数千个临时账户批量配置这些 "虚假" 身份验证方法。

微软的自动模板使用变量{租户名称} + 账户电子邮件验证码来构建主题行。由于攻击者将租户名称更改为财务警报，最终生成的主题行变为："您通过 PayPal 完成了价值 498.95 美元的比特币购买。如需取消或续订，请拨打支持热线 802 538 3069。账户电子邮件验证码。"

该模板还会在签名块中使用租户名称，进一步强化诈骗效果。

虽然我们经常看到攻击者使用谷歌云端硬盘或 Canva 等平台托管恶意内容，但此次攻击更进一步，直接操纵平台的核心基础设施来传递有效载荷。

在传统的冒充攻击中，威胁分子试图模仿可信发件人。而在此攻击中，攻击者迫使微软的合法基础设施

（msonlineservicesteam@microsoftonline[.]com）代表他们发送邮件。由于邮件来自微软自身的高信誉服务器，它能真实通过 SPF、DKIM 和 DMARC 验证，从而绕过依赖发件人身份验证的安全邮件网关。

此外，该攻击不依赖被攻陷的账户或代码漏洞。相反，它将标准的租户配置功能，特别是 "租户名称" 字段武器化，将欺诈消息直接注入系统通知模板。

在观察到的样本中，邮件不包含任何恶意附件或欺骗性链接，无法被传统安全过滤器标记。邮件中仅有的 URL 是指向微软隐私和法律页面的合法链接。通过将有效载荷完全基于文本（例如一个电话号码），该攻击规避了标准威胁检测信号，同时利用了用户对官方安全验证请求的信任。

为何此次攻击难以检测

这种攻击流程专门设计用于绕过标准检测规则，并利用安全团队的白名单：

1. 发件人完全合法

   邮件源自微软自身的高信誉基础设施，能通过 SPF、DKIM 和 DMARC 验证，不存在任何欺骗行为。大多数组织都设置了白名单规则，允许来自msonlineservicesteam@microsoft[.]com的邮件绕过过滤，以确保员工能收到合法的多因素身份验证（MFA）验证码。

2. 无传统入侵指标

   该消息缺乏安全系统可标记的标准入侵指标（IOC），仅有的超链接是合法的微软隐私和法律页面，没有给防御者留下任何可检测的威胁信号。

3. Unicode 混淆绕过内容检测

   攻击者通过将标准字母替换为外观相似的 Unicode 字符，使文本对人眼仍然可读，但却能有效破坏安全扫描器使用的基于正则表达式的规则。

4. 利用用户认知漏洞

   用户被训练成信任验证码，攻击者通过依附于 "验证您的电子邮件" 这一工作流立即获得可信度。真实的安全验证码与虚假的欺诈警报并置，制造了高紧迫性的认知失调，促使用户放弃批判性思考，拨打诈骗电话。

除了微软之外，目前还出现了一些新的合法域名的发件方式，如下。

往期：

TeamPCP：正在以 前所未有的规模污染开源代码的黑客组织