行業新聞與博客

Darktrace 的最新研究顯示，一場新穎的網絡釣魚活動利用了合法的 Dropbox 基礎設施，併成功繞過了多重身份驗證 (MFA) 協議。

此次攻擊凸顯了越來越多的人利用合法的流行服務來誘騙目標下載惡意軟件並泄露登錄憑據。

調查結果還表明，攻擊者如何變得善於規避標準安全協議，包括電郵檢測工具和 MFA。

Darktrace 威脅研究主管 Hanah Darley 在接受Infosecurity採訪時指出，雖然攻擊者通過模仿用户收到的正常電郵來利用用户對特定服務的信任是很常見的，但在這種情況下，威脅行為者更進一步，他們利用合法的 Dropbox 雲存儲平台進行網絡釣魚攻擊。

攻擊者利用 Dropbox 基礎設施

攻擊者於 2024 年 1 月 25 日以 Darktrace 客户為目標，該組織 SaaS 環境中的 16 名內部用户收到了來自“no-reply@dropbox [.] com”的電郵。這是 Dropbox 文件存儲服務使用的合法電郵地址。

該電郵包含一個鏈接，可引導用户訪問 Dropbox 上託管的 PDF 文件，該文件似乎是以該組織的合作伙伴的名字命名的。

該 PDF 文件包含一個可疑的鏈接，指向以前在客户環境中從未見過的域，名為“mmv-security [.] top”。

研究人員指出，惡意或良性電郵與 Dropbox 等合法服務使用的自動電郵“幾乎無法區分”。因此，這種方法可以有效規避電郵安全工具並説服目標單擊惡意鏈接。

該電郵被 Darktace 的電郵安全工具檢測並保留。然而，1 月 29 日，一名用户收到了來自合法 no-reply@dropbox [.] com 地址的另一封電郵，提醒他們打開之前共享的 PDF 文件。

儘管該郵件已移至用户的垃圾文件中，但該員工繼續打開可疑電郵並點擊 PDF 文件的鏈接。幾天後，內部設備連接到惡意鏈接 mmv-security [.] top。

此鏈接會導致一個虛假的 Microsoft 365 登錄頁面，旨在獲取合法 SaaS 帳户持有者的憑據。

研究人員補充説，冒充微軟等受信任組織的方法是讓目標顯得合法的有效方法。

攻擊者成功繞過 MFA

1 月 31 日，Darktrace 觀察到來自多個以前從未訪問過該帳户的異常位置的多次可疑 SaaS 登錄。

隨後 2 月 1 日的異常登錄與 ExpressVPN 相關，表明威脅行為者使用虛擬專用網絡 (VPN) 來掩蓋其真實位置。

這些登錄似乎使用了有效的 MFA 令牌，這表明攻擊者已成功繞過組織的 MFA 策略。

研究人員認為，一旦員工泄露了憑證，他們可能在不知不覺中批准了 MFA 身份驗證請求，在自己的設備上進行身份驗證。

研究人員寫道：“通過使用有效的代幣並滿足必要的 MFA 要求，威脅行為者通常能夠不被傳統安全工具檢測到，這些工具將 MFA 視為靈丹妙藥。”

儘管攻擊者使用合法憑據繞過 MFA，但在識別 SaaS 帳户上的意外活動後，該組織的安全團隊仍然收到可疑活動的警報。

Darley 告訴Infosecurity，該事件表明組織不能再依賴 MFA 作為抵禦網絡攻擊的最後一道防線。

 “在本例中，MFA 繞過現在是攻擊者經常使用的策略，特別是考慮到它成功地授予了對可被利用的共享資源（例如 SharePoint 文件）的訪問權限，”她概述道。

威脅行為者表現出毅力

MFA 繞過後不久，Darktrace 觀察到使用 HideMyAss VPN 服務再次異常登錄 SaaS 帳户。

這次，威脅參與者在受感染的 Outlook 帳户上創建了一條新的電郵規則，旨在立即將組織帳户團隊中的任何電郵直接移至“對話歷史記錄”郵箱文件夾。

研究人員表示，這種方法旨在通過將惡意電郵和對其的任何回覆移動到不常訪問的郵箱文件夾來避免檢測。

此外，該演員還發送了主題為“合同不正確”和“需要緊急審查”等主題的後續電郵。

研究人員指出：“這可能表明威脅行為者使用受感染的帳户向組織的帳户團隊發送更多惡意電郵，以便感染客户 SaaS 環境中的其他帳户。”

網絡釣魚攻擊具有針對性且複雜

研究人員指出，攻擊者濫用 Dropbox 等合法的第三方解決方案進行網絡釣魚攻擊“相對簡單”，而不是依賴自己的基礎設施。

達利評論道：“該案例研究凸顯了網絡犯罪分子在實施分階段攻擊方面變得多麼複雜。這些電郵本身來自 Dropbox 的合法“無回覆”地址，該地址通常會向客户發送通知或鏈接。”

“電郵中包含的鏈接也指向合法的 Dropbox 存儲端點，其中託管着惡意文件。它被偽裝成合作夥伴文件，使電郵看起來合法，”她補充道。

生成式人工智能協助攻擊者

達利指出，生成式人工智能技術正在產生巨大影響，使攻擊者能夠製作更復雜的網絡釣魚消息。

Darktrace 的2023 年年終威脅報告發現，2023 年下半年觀察到的網絡釣魚案件中有超過 25% 包含超過 1000 個字符，這很大程度上歸功於生成式 AI 提供的功能。

“這些不是隻有幾個單詞和一個狡猾的鏈接的‘僅有效負載’電郵，而是經過精心設計和冗長的。還有一些增強型社會工程的案例，其中攻擊者會進入現有的對話線程，冒充同事或已知的聯繫人，試圖模仿通信的語氣，”達利解釋道。

她補充説：“這些更復雜的實例是通過生成人工智能實現的，這讓不良行為者有更多的時間來制定更大規模的攻擊策略。”