查看: 5170|回复: 1
收起左侧

[安全行业] 攻击者正利用中间人技术绕过微软邮件服务的多因素身份验证

[复制链接]
ICzcz
发表于 2022-8-4 13:34:29 | 显示全部楼层 |阅读模式
本帖最后由 ICzcz 于 2022-8-4 13:35 编辑

网络安全研究公司 Zscaler 警告称 —— 使用微软电子邮件服务的用户需提高警惕,因为他们刚刚发现了一种新型网络钓鱼活动。调查显示,攻击者正使用 AiTM 中间人技术,来绕过当前的 MFA 多因素身份验证,且企业客户很容易受到这方面的影响。

DM_20220804133228_001.png

AiTM 工作原理(图自:Microsoft 官网)

顾名思义,AiTM 技术会将攻击者置于通讯流程的中间节点,以拦截客户端与服务器之间的身份验证过程,从而在交换期间窃取登陆凭证。

DM_20220804133228_002.png

换言之,MFA 多因素身份验证信息本身,也会被攻击者给盗用。Zcaler 旗下 ThreatLabz 对本轮网络钓鱼活动展开了分析,并得出了以下几个结论。

DM_20220804133228_003.png

(1)首先,使用微软电子邮件服务的企业客户,成为了本轮大规模网络钓鱼活动的主要目标。

DM_20220804133228_004.png

(2)其次,问题都源于攻击者向受害者散播的带有恶意链接的电子邮件。

DM_20220804133228_005.png

(3)在 Zscaler 发表文章时,攻击仍处于活跃状态。且几乎每天,威胁行为者都会注册新的钓鱼邮件域名。

DM_20220804133228_006.png

(4)在此情况下,一旦某位高管的商业电子邮件被此类钓鱼攻击所攻破,后续就会成为在企业内进一步散播的新感染源头。

DM_20220804133228_007.png

(5)包括美国、英国、新西兰、澳大利亚在内的许多地区,其金融科技、贷款、保险、能源与制造等关键垂直行业,都成为了本轮攻击的重点目标。

DM_20220804133228_008.png

(6)为实现攻击目的,幕后黑手使用了能够绕过 MFA 多因素身份验证的自定义网络钓鱼工具包。

DM_20220804133228_009.png

(7)攻击者擅于利用各种伪装和浏览器指纹识别技术,以绕过 URL 自动分析系统。

DM_20220804133228_010.png

(8)结合诸多 URL 重定向方法,以规避企业的电子邮件 URL 分析解决方案。

DM_20220804133228_011.png

(9)滥用 CodeSandbox 和 Glitch 等合法的线上代码编辑服务,以延长攻击活动的“质保期限”。

DM_20220804133228_012.png

(10)Zscaler 还留意到,攻击者注册的某些域名,明显山寨了美国联邦信用合作社的名称(存在故意的近似拼写错误)。

DM_20220804133228_013.png


https://www.zscaler.com/blogs/security-research/large-scale-aitm-attack-targeting-enterprise-users-microsoft-email-services
yyz219
头像被屏蔽
发表于 2022-8-4 21:57:50 | 显示全部楼层
对一般人没有明天的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 22:39 , Processed in 0.141413 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表