《‘Sneaky Log’ 钓鱼工具包轻松突破 Microsoft 365 账户 媒体》
针对Microsoft 365的AiTM钓鱼工具包新动态
关键要点
新型的AdversaryintheMiddleAiTM钓鱼工具包针对Microsoft 365账户,能够拦截用户凭证及双因素认证2FA。该工具包通过“Sneaky Log”借助Telegram平台进行出售,涉及多家被攻击者控制的WordPress网站。针对这类钓鱼攻击,安全团队应考虑采用多重防护措施。随着网络钓鱼攻击手段的不断进化,研究人员发现了一款新型的AdversaryintheMiddle (AiTM) 钓鱼工具包,专门针对Microsoft 365账户。这款工具的特点在于它能够拦截用户的凭证以及双因素认证2FA,从而成功绕过诸如电子邮件和安全网络网关等反钓鱼防御措施。
在1月16日的博客文章中,Sekoia的研究人员表示,这些钓鱼页面从至少2024年10月开始流传,并已作为钓鱼即服务PhaaS工具包在网络犯罪服务“Sneaky Log”中出售。该服务通过Telegram平台的完全功能机器人来运作。
目前,研究人员指出,Sneaky Log的2FA钓鱼页面托管在被攻陷的基础设施上,常常涉及被黑的WordPress网站以及攻击者控制的其他域名。
Oasis Security的研究负责人Elad Luz解释说,这种钓鱼技巧特别“狡猾”,主要有以下几个原因:
特别制作: 钓鱼邮件中的链接经过特别设计,能够将受害者的电子邮件地址传送到登录页面,从而实现“自动填写”电子邮件字段。Luz指出,这种行为模仿了合法网站的运作,通常与用户曾经登录的账号相关联。混淆化: 威胁行为者模糊化了Microsoft网页的截图,以创建一个令人信服的登录背景,使其看起来用户在成功登录后能够访问合法内容。可信的展示方式: 威胁行为者在网页上实施了常见的方法来区分人类用户和机器用户。如果检测到访客是机器人,页面会显示无害内容或重定向到像Wikipedia这样的合法网站。这种策略帮助躲避了安全系统的自动检测。Luz指出:“这个钓鱼工具的开发源于一个威胁团伙,并出售给其他团伙,突显了许多网络攻击的协作本质。这些恶意工具通常是多个行动者共同努力的结果,进行资源交易。这样的工具包随时可供购买,令人十分担忧。”
LayerX Security的首席执行官Or Eshed补充说,通常,电子邮件和安全网络网关结合使用三种技术: 对域名的声誉分析 与已知钓鱼工具包代码“签名”的比较 爬虫工具在网络中捕捉漏洞
在这种情况下,Eshed表示,该攻击“依附”于具有声誉的合法网站,使用可变代码来干扰与已知钓鱼工具包的比较,并利用Cloudflare的免费防火墙服务及CAPTCHA和基于AI的反机器人措施来阻止网络安全爬虫。
Eshed指出:“这使得攻击对传统网络安全工具几乎是不可见的。”
对于希望提升抵御这种新型钓鱼攻击的安全团队,Eshed建议考虑多种防护措施:1 采用超越网站声誉和已知签名的钓鱼防护措施,直接检查页面代码以识别可疑行为。2 在终端级别部署网页和反钓鱼防护措施,这样不会因会话加密而受到阻碍,也不会像网络解决方案那样影响性能。3 利用AI进行高级页面分析,以实现更深入的上下文和意图分析。
SlashNext电子邮件安全的Field CTO Stephen Kowsi表示,该工具包“狡猾”的方面包括其能够自动填充受害者电子邮件地址的复杂能力、通过Cloudflare的检测逃避,以及巧妙地将安全工具重定向到Wikipedia页面。
鲤鱼加速器每天签到Kowski说:“这个工具包是一个完整的PhaaS平台,具有实时凭证和会话cookie盗窃
