Office 365網(wǎng)絡(luò)釣魚活動使用重定向器URL來逃避沙箱檢測
2020年11月21日
近日���,微軟正在跟蹤一項針對企業(yè)的 Office 365 網(wǎng)絡(luò)釣魚行動���,這些攻擊能夠檢測到沙盒解決方案并逃避檢測�。
微軟在Twitter上發(fā)布的一條消息稱:“我們正在追蹤一種針對企業(yè)的活躍的證書釣魚攻擊���,它使用多種復(fù)雜的方法進(jìn)行防御逃避和社會工程�����。”
“該活動使用與遠(yuǎn)程工作相關(guān)的誘餌����,例如密碼更新,會議信息等�����?����!?br/>
活動背后的威脅參與者利用重定向器 URL 來檢測來自沙箱環(huán)境的傳入連接����。
在檢測到沙箱連接后,重定向器會將其重定向到合法站點(diǎn)以逃避檢測���,同時將來自實(shí)際潛在受害者的連接重定向到網(wǎng)絡(luò)釣魚頁面�����。
網(wǎng)絡(luò)釣魚郵件也被嚴(yán)重混淆��,以繞過安全的電子郵件網(wǎng)關(guān)��。
微軟專家還注意到���,這一行動背后的威脅分子還在生成自定義子域�,用于每個目標(biāo)的重定向站點(diǎn)���。
微軟補(bǔ)充說�,子域始終包含目標(biāo)的用戶名和組織域名���。
為了逃避檢測����,此子域是唯一的�����,攻擊者將其添加到一組基本域(通常是受感染的站點(diǎn))中。網(wǎng)上誘騙 URL 在 TLD 之后有一個額外的點(diǎn)�,后跟收件人的 Base64 編碼的電子郵件地址。
“使用自定義子域有助于提高誘餌的可信度����。此外,該活動使用的發(fā)件人顯示名稱中的模式與社會工程學(xué)誘餌一致:“密碼更新”�����、“ Exchange 保護(hù)”���、“ Helpdesk-#”�、“SharePoint”、“ Projects_communications”����。” 微軟繼續(xù)通過其官方帳戶發(fā)布的一系列推文繼續(xù)其發(fā)展��。
“獨(dú)特的子域還意味著在該活動中大量的釣魚 URL���,這是在逃避檢測的嘗試�。”
攻擊者使用諸如 “密碼更新”��,“ Exchange 保護(hù)”���,“ Helpdesk-?����!?���,“ SharePoint” 和 “ Projects_communications” 等顯示名稱模式欺騙受害者相信郵件來自合法來源��,并單擊每封電子郵件中嵌入的釣魚鏈接�。
微軟指出,其用于 Office 365 的 Defender 產(chǎn)品能夠檢測網(wǎng)絡(luò)釣魚和其他電子郵件威脅����,并將威脅數(shù)據(jù)跨電子郵件和數(shù)據(jù),端點(diǎn)�����,身份和應(yīng)用程序進(jìn)行關(guān)聯(lián)。
最近��,WMC Global 的研究人員發(fā)現(xiàn)了一個新的創(chuàng)造性 Office 365 網(wǎng)絡(luò)釣魚活動�,該活動正在反轉(zhuǎn)用作登陸頁面背景的圖像,以避免被掃描網(wǎng)絡(luò)釣魚網(wǎng)站的安全解決方案標(biāo)記為惡意���。
今年7月�����,來自Check Point的專家報告說����,網(wǎng)絡(luò)犯罪分子越來越多地利用諸如 Google Cloud Services 之類的公共云服務(wù)來針對 Office 365 用戶進(jìn)行網(wǎng)絡(luò)釣魚活動��。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價值
http://borgatopiano.com.cn/
免費(fèi)咨詢熱線:400-6776-989
