一种新的企业电子邮件妥协(BEC)活动结合了复杂的鱼叉式网络钓鱼)策略来破坏企业高管的Microsoft365帐户,包括受多重身份验证保护的帐户(外交部)。Mitiga研究人员在事件响应案例中发现了此活动,这是一种典型的企业电子邮件泄露攻击,目的是在妥协和监控CEO或CFO等高级员工的账户后及时沟通,并在适当的时候回复电子邮件,转移大笔资金交易到他们控制的银行账户。攻击开始时,攻击者会向目标发送一封钓鱼邮件,谎称该公司用于支付的银行账户因财务审计而被冻结,并附有新的支付指令,将切换至攻击者控制的银行账户。在Mitiga举的一个攻击示例中,对公司高管的攻击始于一封看似来自DocuSign的钓鱼邮件,DocuSign是一种广泛用于企业环境的电子协议管理平台,虽然该邮件没有通过DMARC检查,但Mitiga发现DocuSign中针对垃圾邮件的常见安全配置错误帮助它找到了进入目标收件箱的方式。单击“查看文档”按钮时,受害者将被带到欺骗域上的网络钓鱼页面,要求收件人登录Windows域。发送给目标高管的网络钓鱼电子邮件据信,攻击者正在使用网络钓鱼框架(例如Evilginx2代理)来执行所谓的中间人攻击(AiTM)。在AiTM攻击期间,Evilginx2等工具充当代理,位于网络钓鱼页面和目标公司的合法登录表单之间。通过中间的代理,当受害者输入他们的凭据并解决MFA问题时,代理会窃取Windows域生成的cookie。此时,窃取的cookie可以加载到他们自己的浏览器中,自动登录到受害者的帐户并绕过MFA。攻击者将手机添加为新的MFA设备由于有效的cookie可能过期或被撤销,攻击者添加了一个新的MFA设备并将其链接到受感染的Microsoft365帐户,该帐户不会生成任何警报或与原始帐户所有者的进一步交互是必需的。在Mitiga看到的案例中,攻击者添加了一部手机作为新的身份验证设备,以确保他们可以不间断地访问受感染的帐户。据研究人员称,攻击者正在利用这个隐蔽的漏洞来获得对Exchange和SharePoint的几乎完全访问权限。根据日志,他们没有对受害者的收件箱采取任何行动,大概只是阅读电子邮件。然而,攻击者可能正在等待合适的时机注入他们自己的电子邮件,以将发票付款转移到攻击者控制的银行账户中。
