黑客正使用AiTM攻击监控企业高管的 Microsoft 365 帐户

黑客正使用AiTM攻击监控企业高管的 Microsoft 365 帐户




据Bleeping Computer8月24日消息，一项新的商业电子邮件泄露 (BEC) 活动正将复杂的鱼叉式网络钓鱼与中间人攻击 (AiTM) 策略相结合，以入侵企业高管的 Microsoft 365 帐户，其中包括受多因素身份验证 （MFA） 保护的帐户。

Mitiga 的研究人员在一次事件响应案例中发现了这一活动，这是一种典型的商业电子邮件泄露攻击，目的是在入侵并监控首席执行官或首席财务官等高级员工的账户后适时进行通信，并在适当的时候回复电子邮件，将大笔资金交易转移到他们控制的银行账户。

在攻击开始时，攻击者会向目标发送谎称付款的公司银行账户由于财务审计而被冻结的钓鱼邮件，并附有新的付款指令，这些指令会切换到由攻击者控制的银行账户。

在Mitiga例举的一个攻击样例中，对公司高管的攻击始于一封看似来自 DocuSign 的网络钓鱼电子邮件，（DocuSign 是一种在企业环境中广泛使用的电子协议管理平台），虽然电子邮件没有通过 DMARC 检查，但 Mitiga 发现， DocuSign 针对垃圾邮件的常见安全错误配置有助于它进入目标的收件箱。单击“查看文档”按钮时，受害者会被带到一个欺骗域上的网络钓鱼页面，要求收件人登录到 Windows 域。

发送给目标高管的网络钓鱼邮件

攻击者被认为使用网络钓鱼框架（例如 Evilginx2 代理）来进行所谓的中间人攻击 (AiTM) 。在 AiTM 攻击期间， Evilginx2 等工具充当代理，位于网络钓鱼页面和目标公司的合法登录表单之间。由于代理位于中间，当受害者输入他们的凭证并解决 MFA 问题时，代理会窃取 Windows 域生成的Cookie。这时，可以将偷来的Cookie加载到他们自己的浏览器中，自动登录到受害者的账户中，并绕过MFA。

攻击者将手机添加为新的 MFA 设备

由于有效Cookie可能会过期或被撤销，因此攻击者会添加新的 MFA 设备并将其链接到被破坏的 Microsoft 365 帐户，这一举动不会生成任何警报或需要与原有帐户所有者进行进一步交互。

在 Mitiga 看到的案例中，攻击者添加了一部手机作为新的身份验证设备，以确保他们可以不间断地访问受感染的帐户。据研究人员称，攻击者正利用这种隐秘的漏洞几乎完全地访问 Exchange 和 SharePoint。根据日志，他们没有对受害者的收件箱采取任何行动，大概只是阅读电子邮件。

然而，攻击者可能正在等待合适的时机注入他们自己的电子邮件，以将发票付款转移到攻击者控制的银行账户中。

疑因泄露受害者数据，LockBit团伙遭受DDoS攻击

Hack Read 网站披露，LockBit 勒索软件团伙的数据泄露网站遭受了大规模 DDoS 攻击（分布式拒绝服务攻击），随后被迫关闭。值得一提的是，此次 DDoS 攻击似乎是对其曝光安全公司 Entrust 被盗数据的报复。1661491957_63085af5e6126615e889b.jpg!small?1661491957360

Entrust攻击事件详情
2022 年 6 月 18 日，安全公司 Entrust 成为网络攻击的目标，7 月 6 日，该公司通知其客户有关数据泄露的详情。7 月 21 日，一名安全研究人员访问了该公司发给其客户的数据泄露通知副本后，入侵事件随之公开披露。

8 月 18 日，LockBit 勒索软件团伙表示对 Entrust 数据泄露事件负责，并威胁该公司，如果拒绝在 24 小时内支付赎金，将泄露大约 30GB 的数据信息。

之后，名为 Soufiane Tahiri 的安全研究员访问了 LockBit 团伙和 Entrust 之间的通信副本。据他透露攻击者最初要求 800 万美元赎金，后来将赎金减少到 680 万美元，但 Entrust 声称只能支付 100 万美元。1661491968_63085b0069573b8998aa5.jpg!small?1661491967826

LockBit 勒索软件团伙和 Entrust 之间的聊天记录（图片：Soufiane Tahiri）

DDoS攻击细节
这一系列攻击事件中，有意思的是 LockBit 勒索软件运营商刚准备开始发布从 Entrust 窃取的数据时，他们基于 Tor 的泄漏网站就受到了 DDoS 攻击，网站（LockBit 3.0）也已下线。目前尚不清楚此次 DDoS 攻击背后发起者。

据思科 Talos 研究员 Azim Shukuhi 透露，LockBit 集团每秒收到来自 1000 多个服务器的 400 个请求。这些请求中包括一个强制勒索软件运营商删除数据的字符串。

从 LockBit 的说法来看，Entrust 应该是此次 DDoS 攻击的幕后主使，但该公司即使真的参与其中，想必也不可能承认，毕竟它是一家合法的网络安全公司。

此次针对 LockBit 组织的 DDoS 攻击事件也不能排除是其竞争对手所为，也有可能是一起针对 LockBit 运营商并诬陷 Entrust 的计谋。1661491987_63085b131c734438165a2.jpg!small?1661491986528

泄露网站下线后，LockBit运营商立刻进行反击
在遭受了 DDoS 攻击后，LockBit 团伙发誓要报复 DDoS 攻击的幕后主使。在一条推文中，该团伙声称将以三重勒索模式代理以前的双重勒索模式，发动报复式攻击。另外，该组织还高调宣布，作为其战略转变的一部分，正在积极招募新的成员。

讲到这里，简单介绍一下三重勒索模式。作为不久前设计出针对受害者的新方法，三重勒索模式最近在 REvil 组织的攻击中被使用，这种方法增加了一个额外威胁层，例如对受害者进行 DDoS 攻击以迫使其支付赎金。相比之下，在使用双重勒索技术时，攻击者在要求赎金之前，会在其目标设备上窃取数据并进行加密。

最后，LockBit 强调将开始在其赎金记录中添加随机的支付链接，以使 DDoS 等反击手段难以影响其支付网站。