黑客正使用AiTM攻擊監控企業高管的 Microsoft 365 帳戶

黑客正使用AiTM攻擊監控企業高管的 Microsoft 365 帳戶




據Bleeping Computer8月24日消息，一項新的商業電子郵件泄露 (BEC) 活動正將復雜的魚叉式網絡釣魚與中間人攻擊 (AiTM) 策略相結合，以入侵企業高管的 Microsoft 365 帳戶，其中包括受多因素身份驗證 （MFA） 保護的帳戶。

Mitiga 的研究人員在一次事件響應案例中發現了這一活動，這是一種典型的商業電子郵件泄露攻擊，目的是在入侵并監控首席執行官或首席財務官等高級員工的賬戶后適時進行通信，并在適當的時候回復電子郵件，將大筆資金交易轉移到他們控制的銀行賬戶。

在攻擊開始時，攻擊者會向目標發送謊稱付款的公司銀行賬戶由于財務審計而被凍結的釣魚郵件，并附有新的付款指令，這些指令會切換到由攻擊者控制的銀行賬戶。

在Mitiga例舉的一個攻擊樣例中，對公司高管的攻擊始于一封看似來自 DocuSign 的網絡釣魚電子郵件，（DocuSign 是一種在企業環境中廣泛使用的電子協議管理平臺），雖然電子郵件沒有通過 DMARC 檢查，但 Mitiga 發現， DocuSign 針對垃圾郵件的常見安全錯誤配置有助于它進入目標的收件箱。單擊“查看文檔”按鈕時，受害者會被帶到一個欺騙域上的網絡釣魚頁面，要求收件人登錄到 Windows 域。

發送給目標高管的網絡釣魚郵件

攻擊者被認為使用網絡釣魚框架（例如 Evilginx2 代理）來進行所謂的中間人攻擊 (AiTM) 。在 AiTM 攻擊期間， Evilginx2 等工具充當代理，位于網絡釣魚頁面和目標公司的合法登錄表單之間。由于代理位于中間，當受害者輸入他們的憑證并解決 MFA 問題時，代理會竊取 Windows 域生成的Cookie。這時，可以將偷來的Cookie加載到他們自己的瀏覽器中，自動登錄到受害者的賬戶中，并繞過MFA。

攻擊者將手機添加為新的 MFA 設備

由于有效Cookie可能會過期或被撤銷，因此攻擊者會添加新的 MFA 設備并將其鏈接到被破壞的 Microsoft 365 帳戶，這一舉動不會生成任何警報或需要與原有帳戶所有者進行進一步交互。

在 Mitiga 看到的案例中，攻擊者添加了一部手機作為新的身份驗證設備，以確保他們可以不間斷地訪問受感染的帳戶。據研究人員稱，攻擊者正利用這種隱秘的漏洞幾乎完全地訪問 Exchange 和 SharePoint。根據日志，他們沒有對受害者的收件箱采取任何行動，大概只是閱讀電子郵件。

然而，攻擊者可能正在等待合適的時機注入他們自己的電子郵件，以將發票付款轉移到攻擊者控制的銀行賬戶中。

疑因泄露受害者數據，LockBit團伙遭受DDoS攻擊

Hack Read 網站披露，LockBit 勒索軟件團伙的數據泄露網站遭受了大規模 DDoS 攻擊（分布式拒絕服務攻擊），隨后被迫關閉。值得一提的是，此次 DDoS 攻擊似乎是對其曝光安全公司 Entrust 被盜數據的報復。1661491957_63085af5e6126615e889b.jpg!small?1661491957360

Entrust攻擊事件詳情
2022 年 6 月 18 日，安全公司 Entrust 成為網絡攻擊的目標，7 月 6 日，該公司通知其客戶有關數據泄露的詳情。7 月 21 日，一名安全研究人員訪問了該公司發給其客戶的數據泄露通知副本后，入侵事件隨之公開披露。

8 月 18 日，LockBit 勒索軟件團伙表示對 Entrust 數據泄露事件負責，并威脅該公司，如果拒絕在 24 小時內支付贖金，將泄露大約 30GB 的數據信息。

之后，名為 Soufiane Tahiri 的安全研究員訪問了 LockBit 團伙和 Entrust 之間的通信副本。據他透露攻擊者最初要求 800 萬美元贖金，后來將贖金減少到 680 萬美元，但 Entrust 聲稱只能支付 100 萬美元。1661491968_63085b0069573b8998aa5.jpg!small?1661491967826

LockBit 勒索軟件團伙和 Entrust 之間的聊天記錄（圖片：Soufiane Tahiri）

DDoS攻擊細節
這一系列攻擊事件中，有意思的是 LockBit 勒索軟件運營商剛準備開始發布從 Entrust 竊取的數據時，他們基于 Tor 的泄漏網站就受到了 DDoS 攻擊，網站（LockBit 3.0）也已下線。目前尚不清楚此次 DDoS 攻擊背后發起者。

據思科 Talos 研究員 Azim Shukuhi 透露，LockBit 集團每秒收到來自 1000 多個服務器的 400 個請求。這些請求中包括一個強制勒索軟件運營商刪除數據的字符串。

從 LockBit 的說法來看，Entrust 應該是此次 DDoS 攻擊的幕后主使，但該公司即使真的參與其中，想必也不可能承認，畢竟它是一家合法的網絡安全公司。

此次針對 LockBit 組織的 DDoS 攻擊事件也不能排除是其競爭對手所為，也有可能是一起針對 LockBit 運營商并誣陷 Entrust 的計謀。1661491987_63085b131c734438165a2.jpg!small?1661491986528

泄露網站下線后，LockBit運營商立刻進行反擊
在遭受了 DDoS 攻擊后，LockBit 團伙發誓要報復 DDoS 攻擊的幕后主使。在一條推文中，該團伙聲稱將以三重勒索模式代理以前的雙重勒索模式，發動報復式攻擊。另外，該組織還高調宣布，作為其戰略轉變的一部分，正在積極招募新的成員。

講到這里，簡單介紹一下三重勒索模式。作為不久前設計出針對受害者的新方法，三重勒索模式最近在 REvil 組織的攻擊中被使用，這種方法增加了一個額外威脅層，例如對受害者進行 DDoS 攻擊以迫使其支付贖金。相比之下，在使用雙重勒索技術時，攻擊者在要求贖金之前，會在其目標設備上竊取數據并進行加密。

最后，LockBit 強調將開始在其贖金記錄中添加隨機的支付鏈接，以使 DDoS 等反擊手段難以影響其支付網站。