微软:超1万家企业遭受钓鱼攻击
微软表示,从2021年9月开始,已经有超过10,000个组织受到网络钓鱼攻击,攻击者会利用获得的受害者邮箱访问权进行后续的商业电子邮件破坏(BEC)攻击。攻击者使用登陆页面欺骗Office在线认证页面,从而绕过多因素认证(MFA),实现劫持Office 365认证的目的。
在这些钓鱼攻击中,潜在的受害者会收到一封使用HTML附件的钓鱼邮件,当目标点击时会被重定向到登陆页面,而HTML附件确保目标通过HTML重定向器发送。在窃取了目标的凭证和他们的会话Cookie后,这些攻击者会登录受害者的电子邮件账户,并使用受害者的访问权限进行针对其他组织的商业电子邮件泄露(BRC)活动。
Microsoft 365 Defender 研究团队和微软威胁情报中心(MSTIC)针对这一系列的钓鱼活动称:“该网络钓鱼活动使用中间人(AiTM)钓鱼网站窃取密码,劫持用户的登录会话,并跳过认证过程,即使用户已启用多因素认证(MFA)也难以防护。然后攻击者会利用窃取的凭证和会话cookies访问受影响用户的邮箱,并对其他目标进行后续的商业电子邮件破坏(BEC)活动。”
在这次大规模的网络钓鱼活动可以在几个开源网络钓鱼工具包的帮助下实现自动化,包括广泛使用的Evilginx2、Modlishka和Muraena。该活动中使用的钓鱼网站作为反向代理,托管在网络服务器上,目的是通过两个独立的传输层安全(TLS)会话将目标的认证请求代理给他们试图登录的合法网站。
利用这种战术,攻击者的钓鱼页面充当中间人,拦截认证过程,然后从被劫持的HTTP请求中提取包括密码和更重要的会话Cookies等敏感信息。在攻击者得到目标的会话Cookie后,他们将其注入自己的网络浏览器,这使得他们可以规避MFA,实现认证过程的跳过。然后在针对其他组织的商业电子邮件泄露(BRC)活动中使用他们窃取的访问权限。
为了防御此类攻击,微软仍然建议用户使用 MFA并支持基于证书的认证和Fast ID Online (FIDO) v2.0。微软还建议用户监测可疑的登录尝试和邮箱活动,以及采取有条件的访问策略,以阻止攻击者试图使用来自不合规设备或不可信任的IP地址的被盗会话Cookies。
在微软的相关报告中指出虽然AiTM网络钓鱼试图规避MFA,但重要的是要强调MFA的实施仍然是身份安全的一个重要支柱,MFA在阻止各种威胁方面仍然非常有效,其有效性是AiTM网络钓鱼首先出现的原因。
消息来源:
https://www.bleepingcomputer.com/news/security/microsoft-phishing-bypassed-mfa-in-attacks-against-10-000-orgs/
精彩推荐
相关文章
- 服务器常见的攻击
- python版DDOS攻击工具脚本
- 令无数站长闻风丧胆的 DDoS 攻击到底是什么
- DoS和DDoS攻击[通俗易懂]
- 大数据必学Java基础(九十四):SQL注入攻击
- kali DOS/DDOS攻击(局域网内)
- 针对微软企业电子邮件服务,大规模网络钓鱼攻击来袭
- 威胁行为者利用企业滥用微软Office 365某功能,对企业发起勒索攻击
- MuddyWater 持续瞄准中东发起攻击
- 软件供应商Kaseya 0day引发大规模供应链攻击,预计上千家企业中招
- NAS存储服务器软件如何安装、设置才能减少被勒索病毒攻击?
- 利用Metasploit在Linux上安全攻击(msflinux)
- Linux实现防止DDos攻击的技术(linux防ddos攻击)
- 黑客试图在受到攻击的 WordPress 网站创建管理员帐户
- 模拟对抗浏览器的DDoS攻击
- 赛门铁克:企业请注意!Patchwork APT攻击范围已扩展到各行各业
- 一起针对国内企业OA系统精心策划的大规模钓鱼攻击事件
- 腾讯玄武实验室亮相东京:BadBarcode条码攻击,一张纸入侵企业号星舰
- 如何减小DDoS攻击的发生率和破坏力?
- 构建基于SQL Server的攻击靶场(sqlserver靶场)
- 利用Redis抵御网络穿透攻击(redis防止穿透)
- 黑客们为什么钟爱攻击加拿大能源部门?
- 如何对PHP程序中的常见漏洞进行攻击(下)
- PHP+SQL注入攻击的技术实现以及预防办法