Office 365網(wǎng)絡(luò)釣魚活動(dòng)使用重定向器URL來逃避沙箱檢測(cè)
2020年11月21日
近日�,微軟正在跟蹤一項(xiàng)針對(duì)企業(yè)的 Office 365 網(wǎng)絡(luò)釣魚行動(dòng),這些攻擊能夠檢測(cè)到沙盒解決方案并逃避檢測(cè)��。
微軟在Twitter上發(fā)布的一條消息稱:“我們正在追蹤一種針對(duì)企業(yè)的活躍的證書釣魚攻擊����,它使用多種復(fù)雜的方法進(jìn)行防御逃避和社會(huì)工程?��!?/span>
“該活動(dòng)使用與遠(yuǎn)程工作相關(guān)的誘餌�,例如密碼更新����,會(huì)議信息等?!?br/>
活動(dòng)背后的威脅參與者利用重定向器 URL 來檢測(cè)來自沙箱環(huán)境的傳入連接。
在檢測(cè)到沙箱連接后,重定向器會(huì)將其重定向到合法站點(diǎn)以逃避檢測(cè)�,同時(shí)將來自實(shí)際潛在受害者的連接重定向到網(wǎng)絡(luò)釣魚頁面。
網(wǎng)絡(luò)釣魚郵件也被嚴(yán)重混淆��,以繞過安全的電子郵件網(wǎng)關(guān)�。
微軟專家還注意到,這一行動(dòng)背后的威脅分子還在生成自定義子域�,用于每個(gè)目標(biāo)的重定向站點(diǎn)。
微軟補(bǔ)充說�����,子域始終包含目標(biāo)的用戶名和組織域名���。
為了逃避檢測(cè)�����,此子域是唯一的����,攻擊者將其添加到一組基本域(通常是受感染的站點(diǎn))中�。網(wǎng)上誘騙 URL 在 TLD 之后有一個(gè)額外的點(diǎn),后跟收件人的 Base64 編碼的電子郵件地址�。
“使用自定義子域有助于提高誘餌的可信度����。此外�����,該活動(dòng)使用的發(fā)件人顯示名稱中的模式與社會(huì)工程學(xué)誘餌一致:“密碼更新”�、“ Exchange 保護(hù)”、“ Helpdesk-?��!薄ⅰ癝harePoint”����、“ Projects_communications”?���!?微軟繼續(xù)通過其官方帳戶發(fā)布的一系列推文繼續(xù)其發(fā)展。
“獨(dú)特的子域還意味著在該活動(dòng)中大量的釣魚 URL����,這是在逃避檢測(cè)的嘗試?���!?/span>
攻擊者使用諸如 “密碼更新”��,“ Exchange 保護(hù)”�����,“ Helpdesk-?���!?,“ SharePoint” 和 “ Projects_communications” 等顯示名稱模式欺騙受害者相信郵件來自合法來源,并單擊每封電子郵件中嵌入的釣魚鏈接�����。
微軟指出���,其用于 Office 365 的 Defender 產(chǎn)品能夠檢測(cè)網(wǎng)絡(luò)釣魚和其他電子郵件威脅���,并將威脅數(shù)據(jù)跨電子郵件和數(shù)據(jù),端點(diǎn)�,身份和應(yīng)用程序進(jìn)行關(guān)聯(lián)。
最近�����,WMC Global 的研究人員發(fā)現(xiàn)了一個(gè)新的創(chuàng)造性 Office 365 網(wǎng)絡(luò)釣魚活動(dòng),該活動(dòng)正在反轉(zhuǎn)用作登陸頁面背景的圖像�,以避免被掃描網(wǎng)絡(luò)釣魚網(wǎng)站的安全解決方案標(biāo)記為惡意。
今年7月����,來自Check Point的專家報(bào)告說,網(wǎng)絡(luò)犯罪分子越來越多地利用諸如 Google Cloud Services 之類的公共云服務(wù)來針對(duì) Office 365 用戶進(jìn)行網(wǎng)絡(luò)釣魚活動(dòng)���。
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://xufei-js.cn/
免費(fèi)咨詢熱線:400-6776-989
