Office 365網(wǎng)絡釣魚活動使用重定向器URL來逃避沙箱檢測
2020年11月21日
近日����,微軟正在跟蹤一項針對企業(yè)的 Office 365 網(wǎng)絡釣魚行動,這些攻擊能夠檢測到沙盒解決方案并逃避檢測�。
微軟在Twitter上發(fā)布的一條消息稱:“我們正在追蹤一種針對企業(yè)的活躍的證書釣魚攻擊����,它使用多種復雜的方法進行防御逃避和社會工程?�!?/span>
“該活動使用與遠程工作相關的誘餌,例如密碼更新���,會議信息等���。”
活動背后的威脅參與者利用重定向器 URL 來檢測來自沙箱環(huán)境的傳入連接�����。
在檢測到沙箱連接后��,重定向器會將其重定向到合法站點以逃避檢測�����,同時將來自實際潛在受害者的連接重定向到網(wǎng)絡釣魚頁面����。
網(wǎng)絡釣魚郵件也被嚴重混淆,以繞過安全的電子郵件網(wǎng)關����。
微軟專家還注意到,這一行動背后的威脅分子還在生成自定義子域���,用于每個目標的重定向站點��。
微軟補充說��,子域始終包含目標的用戶名和組織域名����。
為了逃避檢測��,此子域是唯一的��,攻擊者將其添加到一組基本域(通常是受感染的站點)中����。網(wǎng)上誘騙 URL 在 TLD 之后有一個額外的點,后跟收件人的 Base64 編碼的電子郵件地址�����。
“使用自定義子域有助于提高誘餌的可信度�。此外,該活動使用的發(fā)件人顯示名稱中的模式與社會工程學誘餌一致:“密碼更新”��、“ Exchange 保護”�����、“ Helpdesk-#”����、“SharePoint”、“ Projects_communications”�。” 微軟繼續(xù)通過其官方帳戶發(fā)布的一系列推文繼續(xù)其發(fā)展���。
“獨特的子域還意味著在該活動中大量的釣魚 URL��,這是在逃避檢測的嘗試��?�!?/span>
攻擊者使用諸如 “密碼更新”�,“ Exchange 保護”�,“ Helpdesk-#”����,“ SharePoint” 和 “ Projects_communications” 等顯示名稱模式欺騙受害者相信郵件來自合法來源,并單擊每封電子郵件中嵌入的釣魚鏈接��。
微軟指出,其用于 Office 365 的 Defender 產品能夠檢測網(wǎng)絡釣魚和其他電子郵件威脅����,并將威脅數(shù)據(jù)跨電子郵件和數(shù)據(jù)�����,端點��,身份和應用程序進行關聯(lián)���。
最近����,WMC Global 的研究人員發(fā)現(xiàn)了一個新的創(chuàng)造性 Office 365 網(wǎng)絡釣魚活動���,該活動正在反轉用作登陸頁面背景的圖像�,以避免被掃描網(wǎng)絡釣魚網(wǎng)站的安全解決方案標記為惡意�����。
今年7月�����,來自Check Point的專家報告說,網(wǎng)絡犯罪分子越來越多地利用諸如 Google Cloud Services 之類的公共云服務來針對 Office 365 用戶進行網(wǎng)絡釣魚活動���。
江蘇國駿-打造安全可信的網(wǎng)絡世界
為IT提升價值
http://hbshty.cn/
免費咨詢熱線:400-6776-989
