邮件诈骗新维度!利用合作伙伴关系来绕过多因素身份验证

这次攻击显示了AiTM和BEC威胁的复杂性,它们滥用供应商、分销商和其他合作伙伴组织之间的信任关系,进行财务欺诈。

在一场利用不同组织之间关系的攻击活动中,攻击者设法将商业犯罪电子邮件 (BEC) 链接到四个或更多组织,并利用它们之间的关系从一个被破坏的组织跳到另一个被破坏的组织。微软研究人员将这种攻击称为多阶段中间对手 (AiTM) 网络钓鱼,始于对一家受信任的供应商以及银行和金融服务部门的目标组织的攻击。

这次攻击显示了AiTM和BEC威胁的复杂性,它们滥用供应商、分销商和其他合作伙伴组织之间的信任关系,进行财务欺诈。

使用间接代理进行网络钓鱼

AiTM网络钓鱼是一种现在常见的绕过多因素身份验证机制的技术,该机制依赖于用户在登录会话期间手动输入的一次性代码,无论它们是通过电子邮件、短信还是手机APP生成的。执行AiTM的最常见方法是使用反向代理,受害者连接到攻击者控制的域名和网站,该域名和网站简单地代理来自目标服务的真实登录页面的所有内容和后续请求。

在这样的网络钓鱼实施中,现在可以使用开源工具包,攻击者获得了对受害者与他们正在验证的服务之间的流量的被动监控角色。目标是在身份验证完成时捕获服务转发回的会话 cookie,然后用它直接访问受害者的帐户。但是,如果实施了额外的策略来捕获和验证受害者机器的其他方面,这对攻击者也有不利影响,因为攻击者随后的登录可能会触发安全警报并将会话标记为可疑。

在新攻击中,该公司以临时绰号Storm-1167跟踪的攻击者使用了他们自己开发的自定义网络钓鱼工具包,该工具包使用间接代理方法。这意味着攻击者设置的网络钓鱼页面不提供来自真实登录页面的任何内容,而是将其模拟为完全受攻击者控制的独立页面。

当受害者与网络钓鱼页面交互时,攻击者使用受害者提供的凭证启动与真实网站的登录会话,然后使用虚假提示向受害者索取MFA代码。如果提供了代码,攻击者会将其用于自己的登录会话,并直接获得会话cookie。然后受害者被重定向到一个假页面。这更符合传统的钓鱼攻击。

在这种采用间接代理方式的AiTM攻击中,由于钓鱼网站是由攻击者设置的,因此他们拥有更多的控制权,可以根据场景修改显示的内容。此外,由于网络钓鱼基础设施由攻击者控制,他们可以灵活地创建多个服务器来逃避检测。与典型的AiTM攻击不同,目标和实际网站之间没有代理HTTP数据包。

建立持久的电子邮件访问并发起BEC攻击

一旦连接到受害者的账户,攻击者就会生成一个新的访问代码以延长他们的访问时间,然后继续向该账户添加一种新的MFA身份验证方法——一种使用带有伊朗号码的SMS服务的方法。然后,他们创建了一个电子邮件收件箱过滤规则,将所有收到的电子邮件移至存档文件夹并将它们标记为已读。

攻击始于针对一家公司员工的网络钓鱼活动,该公司是多个组织的可信供应商。攻击者使用了一个指向Canva.com的URL,这是一个免费的在线图形设计平台,用于创建视觉演示、海报和其他图形。该URL指向攻击者在Canva上制作的模仿OneDrive文档预览的页面。如果单击此图像,用户将转到一个虚假的Microsoft登录页面以进行身份验证。

在入侵供应商的电子邮件帐户后,攻击者从现有电子邮件历史中提取电子邮件地址,并发送了大约16000封电子邮件,这些电子邮件修改了类似的恶意Canva URL。微软研究人员表示:“攻击者随后监视受害用户的邮箱,以查找未送达和外出的电子邮件,并将它们从存档文件夹中删除。攻击者阅读了收件人的电子邮件,收件人提出了关于网络钓鱼电子邮件真实性的问题并进行了回复,可能是为了错误地确认该电子邮件是合法的。然后从邮箱中删除了电子邮件和回复。”

来自供应商的网络钓鱼电子邮件的收件人同样被定向到AiTM网络钓鱼页面,攻击链继续进行。来自不同组织的第二次网络钓鱼活动的受害者的电子邮件遭到破坏,并被用来向合作伙伴组织发送额外的网络钓鱼电子邮件。随后受害者的账户以类似的方式被滥用。

与软件供应链攻击一样,这种多阶段AiTM网络钓鱼和BEC组合可以呈指数级增长,并且可以深入到信任链的下游。BEC攻击的目标通常是诱骗收件人发起流氓电汇,共享私人个人和财务信息或转移加密货币。

这种 AiTM攻击使用间接代理是威胁日益复杂和不断发展的TTP以逃避甚至挑战传统解决方案和最佳实践的一个例子。因此,主动寻找并快速响应威胁成为保护组织网络安全的一个更重要的方面,因为它为其他安全补救措施提供了一个附加层,并且可以帮助解决防御规避问题。

一些缓解解决方案包括使用AiTM技术无法拦截的MFA方法,例如使用FIDO 2密钥和基于证书的身份验证的方法。组织还可以实施条件访问策略,使用额外的用户或设备身份信号(例如 IP 位置或设备状态)来评估登录请求。此外微软还建议实施持续访问评估。

塞讯安全度量验证平台为企业提供主动寻找和快速响应威胁的方式,组织通过真实的APT攻击场景来持续性地验证自身安全防御的有效性,主动发现自身无法防御的威胁,从而针对性地补足和优化配置。