近日，微軟披露了銀行金融組織是一種新的多階段中間對(duì)手 ( AitM ) 網(wǎng)絡(luò)釣魚和商業(yè)電子郵件泄露 (BEC) 攻擊的目標(biāo)。微軟在安全報(bào)告中披露了一個(gè)攻擊起源為受信任供應(yīng)商，轉(zhuǎn)變?yōu)橐幌盗?AiTM 攻擊和跨越多個(gè)組織的后續(xù) BEC 活動(dòng)。

微軟將這類新型攻擊稱為 Storm-1167，該黑客組織的攻擊手法主要是使用間接代理來發(fā)起攻擊。這使攻擊者能夠靈活地根據(jù)他們的目標(biāo)定制網(wǎng)絡(luò)釣魚頁面并進(jìn)行會(huì)話 cookie 竊取，突顯了 AitM 攻擊的持續(xù)復(fù)雜性。

根據(jù)中國網(wǎng)絡(luò)安全行業(yè)門戶極牛網(wǎng)(GeekNB.com)的梳理，作案手法不同于其他 AitM 活動(dòng)，在其他 AitM 活動(dòng)中，誘餌頁面充當(dāng)反向代理，以獲取受害者輸入的憑據(jù)和基于時(shí)間的一次性密碼 (TOTP)。

攻擊者向目標(biāo)展示了一個(gè)模仿目標(biāo)應(yīng)用程序登錄頁面的網(wǎng)站，就像傳統(tǒng)的網(wǎng)絡(luò)釣魚攻擊一樣。登錄頁面包含從攻擊者控制的服務(wù)器加載的資源，該服務(wù)器使用受害者的憑據(jù)啟動(dòng)與目標(biāo)應(yīng)用程序的身份驗(yàn)證提供程序的身份驗(yàn)證會(huì)話。

攻擊鏈從一封指向鏈接的網(wǎng)絡(luò)釣魚電子郵件開始，單擊該鏈接后，受害者會(huì)重定向到一個(gè)欺騙性的 Microsoft 登錄頁面并竊取輸入的憑據(jù)和 TOTP。

然后使用獲取的密碼和會(huì)話 cookie 來冒充用戶，并通過重放攻擊獲得對(duì)電子郵件收件箱的未授權(quán)訪問。該訪問權(quán)限隨后被濫用以獲取敏感電子郵件并策劃 BEC 攻擊。

更重要的是，一種新的基于 SMS 的雙因素身份驗(yàn)證方法被添加到目標(biāo)帳戶，以便使用竊取的憑據(jù)登錄而不會(huì)引起任何注意。

在微軟分析的事件中，據(jù)說攻擊者發(fā)起了大規(guī)模垃圾郵件活動(dòng)，向受感染用戶的組織內(nèi)外聯(lián)系人以及分發(fā)列表發(fā)送了 16000 多封電子郵件。

還觀察到對(duì)手采取措施最大限度地減少檢測(cè)并通過響應(yīng)傳入的電子郵件并隨后采取措施將其從郵箱中刪除來建立持久性。

最終，網(wǎng)絡(luò)釣魚電子郵件的收件人成為第二次 AitM 攻擊的目標(biāo)，竊取他們的憑據(jù)并從其中一名用戶的電子郵件收件箱中觸發(fā)另一場(chǎng)網(wǎng)絡(luò)釣魚活動(dòng)，該用戶的帳戶因 AitM 攻擊而被黑客入侵。