行业新闻与博客

Darktrace 的最新研究显示，一场新颖的网络钓鱼活动利用了合法的 Dropbox 基础设施，并成功绕过了多重身份验证 (MFA) 协议。

此次攻击凸显了越来越多的人利用合法的流行服务来诱骗目标下载恶意软件并泄露登录凭据。

调查结果还表明，攻击者如何变得善于规避标准安全协议，包括电子邮件检测工具和 MFA。

Darktrace 威胁研究主管 Hanah Darley 在接受Infosecurity采访时指出，虽然攻击者通过模仿用户收到的正常电子邮件来利用用户对特定服务的信任是很常见的，但在这种情况下，威胁行为者更进一步，他们利用合法的 Dropbox 云存储平台进行网络钓鱼攻击。

攻击者利用 Dropbox 基础设施

攻击者于 2024 年 1 月 25 日以 Darktrace 客户为目标，该组织 SaaS 环境中的 16 名内部用户收到了来自“no-reply@dropbox [.] com”的电子邮件。这是 Dropbox 文件存储服务使用的合法电子邮件地址。

该电子邮件包含一个链接，可引导用户访问 Dropbox 上托管的 PDF 文件，该文件似乎是以该组织的合作伙伴的名字命名的。

该 PDF 文件包含一个可疑的链接，指向以前在客户环境中从未见过的域，名为“mmv-security [.] top”。

研究人员指出，恶意或良性电子邮件与 Dropbox 等合法服务使用的自动电子邮件“几乎无法区分”。因此，这种方法可以有效规避电子邮件安全工具并说服目标单击恶意链接。

该电子邮件被 Darktace 的电子邮件安全工具检测并保留。然而，1 月 29 日，一名用户收到了来自合法 no-reply@dropbox [.] com 地址的另一封电子邮件，提醒他们打开之前共享的 PDF 文件。

尽管该邮件已移至用户的垃圾文件中，但该员工继续打开可疑电子邮件并点击 PDF 文件的链接。几天后，内部设备连接到恶意链接 mmv-security [.] top。

此链接会导致一个虚假的 Microsoft 365 登录页面，旨在获取合法 SaaS 帐户持有者的凭据。

研究人员补充说，冒充微软等受信任组织的方法是让目标显得合法的有效方法。

攻击者成功绕过 MFA

1 月 31 日，Darktrace 观察到来自多个以前从未访问过该帐户的异常位置的多次可疑 SaaS 登录。

随后 2 月 1 日的异常登录与 ExpressVPN 相关，表明威胁行为者使用虚拟专用网络 (VPN) 来掩盖其真实位置。

这些登录似乎使用了有效的 MFA 令牌，这表明攻击者已成功绕过组织的 MFA 策略。

研究人员认为，一旦员工泄露了凭证，他们可能在不知不觉中批准了 MFA 身份验证请求，在自己的设备上进行身份验证。

研究人员写道：“通过使用有效的代币并满足必要的 MFA 要求，威胁行为者通常能够不被传统安全工具检测到，这些工具将 MFA 视为灵丹妙药。”

尽管攻击者使用合法凭据绕过 MFA，但在识别 SaaS 帐户上的意外活动后，该组织的安全团队仍然收到可疑活动的警报。

Darley 告诉Infosecurity，该事件表明组织不能再依赖 MFA 作为抵御网络攻击的最后一道防线。

 “在本例中，MFA 绕过现在是攻击者经常使用的策略，特别是考虑到它成功地授予了对可被利用的共享资源（例如 SharePoint 文件）的访问权限，”她概述道。

威胁行为者表现出毅力

MFA 绕过后不久，Darktrace 观察到使用 HideMyAss VPN 服务再次异常登录 SaaS 帐户。

这次，威胁参与者在受感染的 Outlook 帐户上创建了一条新的电子邮件规则，旨在立即将组织帐户团队中的任何电子邮件直接移至“对话历史记录”邮箱文件夹。

研究人员表示，这种方法旨在通过将恶意电子邮件和对其的任何回复移动到不常访问的邮箱文件夹来避免检测。

此外，该演员还发送了主题为“合同不正确”和“需要紧急审查”等主题的后续电子邮件。

研究人员指出：“这可能表明威胁行为者使用受感染的帐户向组织的帐户团队发送更多恶意电子邮件，以便感染客户 SaaS 环境中的其他帐户。”

网络钓鱼攻击具有针对性且复杂

研究人员指出，攻击者滥用 Dropbox 等合法的第三方解决方案进行网络钓鱼攻击“相对简单”，而不是依赖自己的基础设施。

达利评论道：“该案例研究凸显了网络犯罪分子在实施分阶段攻击方面变得多么复杂。这些电子邮件本身来自 Dropbox 的合法“无回复”地址，该地址通常会向客户发送通知或链接。”

“电子邮件中包含的链接也指向合法的 Dropbox 存储端点，其中托管着恶意文件。它被伪装成合作伙伴文件，使电子邮件看起来合法，”她补充道。

生成式人工智能协助攻击者

达利指出，生成式人工智能技术正在产生巨大影响，使攻击者能够制作更复杂的网络钓鱼消息。

Darktrace 的2023 年年终威胁报告发现，2023 年下半年观察到的网络钓鱼案件中有超过 25% 包含超过 1000 个字符，这很大程度上归功于生成式 AI 提供的功能。

“这些不是只有几个单词和一个狡猾的链接的‘仅有效负载’电子邮件，而是经过精心设计和冗长的。还有一些增强型社会工程的案例，其中攻击者会进入现有的对话线程，冒充同事或已知的联系人，试图模仿通信的语气，”达利解释道。

她补充说：“这些更复杂的实例是通过生成人工智能实现的，这让不良行为者有更多的时间来制定更大规模的攻击策略。”