微软披露了大规模、多阶段网络钓鱼活动的详细信息,该活动使用被盗凭据在受害者网络上注册设备,以进一步传播垃圾邮件并扩大感染池。
这家科技巨头表示,这些攻击通过未使用多因素身份验证 (MFA) 保护的账户表现出来,从而使对手有可能利用目标的自带设备 (BYOD) 政策并引入他们自己的使用窃取的凭据的恶意设备。
袭击分两个阶段进行,第一个活动阶段涉及窃取主要位于澳大利亚、新加坡、印度尼西亚和泰国的目标组织的凭据,Microsoft 365 Defender 威胁情报团队在本周发布的一份技术报告中表示。
然后在第二阶段利用被盗凭据,其中攻击者使用受感染的账户通过横向网络钓鱼以及通过出站垃圾邮件在网络之外扩展其在组织内的立足点。
该活动始于用户收到包含一个链接的 DocuSign 品牌网络钓鱼诱饵,单击该链接后,收件人将重定向到伪装成 Office 365 登录页面以窃取凭据的流氓网站。
凭据盗窃不仅导致不同公司的 100 多个邮箱遭到入侵,而且还使攻击者能够实施收件箱规则来阻止检测。紧随其后的是第二次攻击波,该波利用缺乏 MFA 保护将非托管 Windows 设备注册到公司的 Azure Active Directory ( AD ) 实例并传播恶意消息。
通过将攻击者控制的设备连接到网络,这项新技术可以扩大攻击者的立足点,秘密扩散攻击,并在目标网络中横向移动。
“为了发起第二波攻击,攻击者利用目标用户的受感染邮箱向受害组织内外的 8,500 多名用户发送恶意邮件,”微软表示。“这些电子邮件使用 SharePoint 共享邀请诱饵作为邮件正文,试图让收件人相信共享的 \'Payment.pdf\' 文件是合法的。”
随着基于电子邮件的社会工程攻击继续成为攻击企业获得初始入口并将恶意软件投放到受感染系统上的最主要手段,这一发展也随之而来。
本月早些时候,知名网络安全专家、东方联盟创始人郭盛华披露了一场归因于OceanLotus组织的恶意活动,该活动通过使用 Web 存档文件 (.MHT) 附件等非标准文件类型来部署信息窃取恶意软件来绕过基于签名的检测。
除了开启 MFA 之外,实施良好的网络凭证和网络分段等最佳实践可以“增加攻击者试图通过网络传播的‘成本’”。
微软补充说:“这些最佳实践可以限制攻击者在初始入侵后横向移动和破坏资产的能力,并且应该辅以高级安全解决方案,以提供跨域的可见性并跨保护组件协调威胁数据。” (欢迎转载分享)
标签:钓鱼,攻击,凭据,网络,攻击者,详细信息,窃取,微软 来源: https://www.cnblogs.com/hacker520/p/15858227.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。