2020年11月21日
近日,微軟正在跟蹤一項針對企業(yè)的 Office 365 網(wǎng)絡(luò)釣魚行動,這些攻擊能夠檢測到沙盒解決方案并逃避檢測。
微軟在Twitter上發(fā)布的一條消息稱:“我們正在追蹤一種針對企業(yè)的活躍的證書釣魚攻擊,它使用多種復(fù)雜的方法進行防御逃避和社會工程。”
“該活動使用與遠程工作相關(guān)的誘餌,例如密碼更新,會議信息等。”
活動背后的威脅參與者利用重定向器 URL 來檢測來自沙箱環(huán)境的傳入連接。
在檢測到沙箱連接后,重定向器會將其重定向到合法站點以逃避檢測,同時將來自實際潛在受害者的連接重定向到網(wǎng)絡(luò)釣魚頁面。
網(wǎng)絡(luò)釣魚郵件也被嚴(yán)重混淆,以繞過安全的電子郵件網(wǎng)關(guān)。
微軟專家還注意到,這一行動背后的威脅分子還在生成自定義子域,用于每個目標(biāo)的重定向站點。
微軟補充說,子域始終包含目標(biāo)的用戶名和組織域名。
為了逃避檢測,此子域是唯一的,攻擊者將其添加到一組基本域(通常是受感染的站點)中。網(wǎng)上誘騙 URL 在 TLD 之后有一個額外的點,后跟收件人的 Base64 編碼的電子郵件地址。
“使用自定義子域有助于提高誘餌的可信度。此外,該活動使用的發(fā)件人顯示名稱中的模式與社會工程學(xué)誘餌一致:“密碼更新”、“ Exchange 保護”、“ Helpdesk-#”、“SharePoint”、“ Projects_communications”。” 微軟繼續(xù)通過其官方帳戶發(fā)布的一系列推文繼續(xù)其發(fā)展。
“獨特的子域還意味著在該活動中大量的釣魚 URL,這是在逃避檢測的嘗試。”
攻擊者使用諸如 “密碼更新”,“ Exchange 保護”,“ Helpdesk-#”,“ SharePoint” 和 “ Projects_communications” 等顯示名稱模式欺騙受害者相信郵件來自合法來源,并單擊每封電子郵件中嵌入的釣魚鏈接。
微軟指出,其用于 Office 365 的 Defender 產(chǎn)品能夠檢測網(wǎng)絡(luò)釣魚和其他電子郵件威脅,并將威脅數(shù)據(jù)跨電子郵件和數(shù)據(jù),端點,身份和應(yīng)用程序進行關(guān)聯(lián)。
最近,WMC Global 的研究人員發(fā)現(xiàn)了一個新的創(chuàng)造性 Office 365 網(wǎng)絡(luò)釣魚活動,該活動正在反轉(zhuǎn)用作登陸頁面背景的圖像,以避免被掃描網(wǎng)絡(luò)釣魚網(wǎng)站的安全解決方案標(biāo)記為惡意。
今年7月,來自Check Point的專家報告說,網(wǎng)絡(luò)犯罪分子越來越多地利用諸如 Google Cloud Services 之類的公共云服務(wù)來針對 Office 365 用戶進行網(wǎng)絡(luò)釣魚活動。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價值
http://www.jewellerybykaren.com/
免費咨詢熱線:400-6776-989
