A new, large-scale phishing campaign is actively exploiting the Microsoft Dynamics 365 Customer Voice enterprise feedback management application to deceive users and steal their login credentials, including bypassing multi-factor身份驗證(MFA)。這次攻擊對全球大量組織構成了重大威脅,這些組織依賴於Microsoft 365和Dynamics 365用於業務運營。
攻擊鏈涉及吸引收件人單擊Phony Links,聲稱他們已收到了新的Voicemail或PDF文檔。用戶首先針對驗證碼測試,這是一種旨在藉給真實性的策略。此後,受害者被發送到旨在模仿Microsoft登錄頁面的網絡釣魚站點,攻擊者試圖竊取憑據。成功的攻擊授予網絡罪犯未經授權訪問敏感信息和系統,可能導致內部帳戶,盜竊資金和運營中斷。 > 利用受信任的Microsoft Services
這種方法的聰明在於其對信任的利用。它依賴於收件人對涉及Microsoft品牌服務的常規業務通信的熟悉,這使得欺詐性電子郵件難以與合法的通信區分開。攻擊者正在利用Microsoft通知的合法鏈接,作為攻擊鏈的一部分。
該技術利用合法的站點來超越安全掃描儀,被檢查點研究人員稱為“靜態高速公路”。對於安全服務而言,這種攻擊難以檢測,甚至更難為用戶識別。
直到最後一步,網絡釣魚鏈接通常才出現。 Check Point說:“首先將用戶定向到合法的頁面-因此,在電子郵件主體中徘徊在網址上不會提供保護。 “網絡釣魚鏈接通常會通過幾個中間頁面將用戶重定向。 Dynamics 365表格使用合法的SSL證書,例如https://forms.office.com或https://yourcompanyname.dynamics.com,這可以幫助檢查網絡釣魚檢測工具,以檢查是否有無效或可疑的證書或可疑的證書。
多因素身份驗證。這通常是通過使用複雜的網絡釣魚-服務(PHAAS)工具包來實現的。
一個值得注意的例子是Rockstar 2fa,它用於針對Microsoft 365憑據的廣告系列,包括Dynamerics 365 365的Vodyn 365客戶語音,並設計用於bypass mfa intass MFA。用戶憑據和會話cookie,這意味著即使是啟用MFA的用戶也仍然很脆弱。 Microsoft跟踪Dadsec/Phoenix網絡釣魚套件的開發人員和分銷商,與Rockstar 2fa有關2FA可通過訂閱型號獲得,在ICQ,Telegram和Mail.ru等平台上售價為200美元或每月350美元,允許具有很少有技術專業知識的網絡犯罪分子可以大規模進行廣告系列。
該工具基金包括使用2FA旁路,cookie forpering,clouds coputiz forcliz for Could forpage,cloudize coptile turniz inses turnizize clodiz inses Page,contile turnistile turnizize page,contile turnize thristile thermim coptile turnistile thristile thristile,無法檢測到的(FUD)鏈接和電報機器人集成。
使用Rockstar 2FA的電子郵件廣告系列利用了不同的初始訪問向量,例如URL,QR碼和文檔附件。 Rockstar 2FA使用的誘餌模板範圍從文件共享通知到電子簽名請求。攻擊者使用合法的鏈接重定向器作為繞過AntisPAM檢測的機制。
更廣泛的上下文和緩解範圍
一旦進入折衷的帳戶,網絡犯罪分子就可以迅速行動。 They may launch business email compromise (BEC) attacks, impersonating executives to request fraudulent wire transfers, or spread further phishing emails internally.攻擊者還操縱電子郵件設置以隱藏其活動,創建過濾規則以自動刪除安全通知。為了避免檢測,他們可能會使用VPN服務,使其登錄似乎源自受害者通常的位置。
Microsoft已採取了行動,阻止了廣告系列中使用的一些網絡釣魚頁面。但是,在將這些頁面刪除之前,可能仍然有一些惡意電子郵件到達收件箱。根據 除了此特定活動之外,使用網絡釣魚獲得證書仍然是普遍的威脅向量。今年早些時候,觀察到偽造的Microsoft ADFS登錄門戶的單獨大規模網絡釣魚攻擊到劫持業務電子郵件帳戶,這表明Microsoft身份驗證系統正在進行中。 ,該活動還實時捕獲了憑證和MFA代碼,從而強調了Federated Aderation Systems之類的ADFS等聯邦ADFS的脆弱性。朝基於網絡釣魚的憑據盜竊的轉變與現代網絡攻擊中的更廣泛趨勢保持一致。 更廣泛的網絡安全景觀表明,攻擊者越來越依靠合法的雲基礎設施來寄宿網頁,如在fortra報告中所發現的那樣,並利用人工智能的攻擊來提高效果。根據Netskope分析,對欺詐性電子郵件的個性化。國家贊助的黑客組也正在使用AI來完善網絡操作,包括網絡釣魚和偵察,儘管AI尚未創建根本上新的攻擊方法。 最近,攻擊者利用合法系統用於網絡釣魚的另一個示例涉及欺騙Google的Google Email Systems通過有效的DKIM簽名來欺騙Google。該技術操縱了Google的OAuth框架,以發送出現在真實簽名的電子郵件中,並繞過DMARC檢查。它強調了一個更廣泛的趨勢,攻擊者濫用信任的平台和協議以使其騙局合法化。 以增強防禦性防禦基於身份的網絡釣魚攻擊,網絡安全專家建議採用多層方法。 For organizations still using ADFS, transitioning to Microsoft Entra ID is advised, as it offers more phishing-resistant authentication methods. Implementing advanced email security solutions, monitoring authentication activity for anomalies, and providing定期的安全意識培訓也是至關重要的步驟。應教育員工在確定網絡釣魚嘗試並與其IT部門核實異常登錄請求的教育。需要連續驗證的零信任安全框架的轉變也被視為將來的標準。
