最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

黑客使用AiTM攻击来监控Microsoft 365帐户中的BEC诈骗

网络安全 快米云 来源:快米云 179浏览

一项新的商业电子邮件泄露 (BEC) 活动被发现将复杂的鱼叉式网络钓鱼与中间对手 (AiTM) 策略相结合,以入侵企业高管的 Microsoft 365 帐户,甚至是受 MFA 保护的帐户。

通过访问大型组织的 CEO 或 CFO 等高级员工的账户,威胁参与者可以监控通信并在适当的时候回复电子邮件,从而将大笔交易转移到他们的银行账户。

这是典型的商业电子邮件泄露攻击,威胁行为者在最后时刻从受感染账户发送电子邮件,请求交易的授权成员更改银行账户目的地。

Mitiga 的研究人员在一次事件响应案例中发现了这一新活动,并报告说它现在很普遍,针对每笔高达数百万美元的交易。

在这些攻击中发送的网络钓鱼电子邮件告诉目标,他们通常发送付款的公司银行账户由于财务审计而被冻结,并附有新的付款指令,这些指令会切换到被指控的子公司的账户。然而,这个新的银行账户归窃取付款的威胁者所有。

为了欺骗收件人,攻击者劫持电子邮件线程并使用域名仿冒域名,这些域名迅速作为真实的域名传递给受害者知道的抄送法律代表,让他们参与交换。

线程劫持和欺骗性电子邮件地址(非真实姓名) (Mitiga)
从妥协到 MFA 持久性
对公司高管的攻击始于一封看似来自 DocuSign 的网络钓鱼电子邮件,DocuSign 是一种在企业环境中广泛使用的电子协议管理平台。

虽然电子邮件没有通过 DMARC 检查,但 Mitiga 发现,用于减少 DocuSign 误报垃圾邮件警报的常见安全错误配置有助于它进入目标的收件箱。

发送给目标高管的网络钓鱼邮件 (Mitiga)
单击“查看文档”按钮时,受害者会被带到一个欺骗域上的网络钓鱼页面,要求收件人登录到 Windows 域。

威胁参与者被认为使用网络钓鱼框架(例如 evilginx2 代理)来进行所谓的中间对手 (AiTM) 攻击。

在 AiTM 攻击期间, evilginx2 等工具充当代理,位于网络钓鱼页面和目标公司的合法登录表单之间。

由于代理位于中间,当受害者输入他们的凭据并解决 MFA 问题时,代理会窃取 Windows 域生成的会话 cookie。

威胁参与者现在可以将窃取的会话 cookie 加载到他们自己的浏览器中,以自动登录受害者的帐户并绕过 MFA,这已在之前的登录中得到验证。

攻击者将手机添加为新的 MFA 设备 (Mitiga)
由于有效会话可能会过期或被撤销,因此威胁参与者会添加新的 MFA 设备并将其链接到被破坏的 Microsoft 365 帐户,这一举动不会生成任何警报或需要与原始帐户所有者进行进一步交互。

在 Mitiga 看到的案例中,攻击者添加了一部手机作为新的身份验证设备,以确保他们可以不间断地访问受感染的帐户。

据研究人员称,威胁行为者利用这种隐秘的漏洞几乎完全访问 Exchange 和 SharePoint。根据日志,他们没有对受害者的收件箱采取任何行动,大概只是阅读电子邮件。

然而,攻击者可能正在等待合适的时机注入他们自己的电子邮件,以将发票付款转移到攻击者控制的银行账户中。

Windows 管理员可以通过Azure Active Directory 审核日志监控用户帐户的 MFA 更改。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客使用AiTM攻击来监控Microsoft 365帐户中的BEC诈骗