使用微軟郵件服務的企業正遭到大規模網釣 - 工程師

2022年8月4日
使用微軟郵件服務的企業正遭到大規模網釣攻擊

資安業者Zscaler在今年6月發現一個大規模的網釣活動，鎖定使用微軟電子郵件服務的企
業，而且採用了先進的中間人（AiTM）攻擊，以繞過多因素認證（MFA）機制，目的是挾
持受害者的微軟帳號，並展開商業電子郵件詐騙（BEC）

資安業者Zscaler本周警告，他們在今年6月發現了一個大規模的網釣活動，此一惡意活動
鎖定了使用微軟電子郵件服務的企業，而且採用了先進的中間人（
Adversary-in-The-Middle，AiTM）攻擊，以繞過多因素認證（Multi-Factor
Authentication，MFA）機制，目的是挾持受害者的微軟帳號，並展開商業電子郵件詐騙
（Business Email Compromise，BEC）。

在AiTM網釣攻擊中，駭客在使用者與所造訪的網站之間建立一個代理伺服器，藉以竊取使
用者所輸入的憑證，以及已通過身分認證的期間Cookie，因而得以挾持使用者的帳號。

微軟在今年7月初也曾揭露類似的攻擊行動，強調駭客是藉由AiTM盜走了期間Cookie，因
而不論使用者採用任何身分認證方法，都無損於駭客獲准進入期間的能力，並非為MFA的
安全漏洞。

根據Zscaler的觀察，駭客的攻擊對象遍布美國、英國、紐西蘭與澳洲，涵蓋金融科技、
借貸、保護、能源與製造業，雖然坊間已有常見的AiTM網釣套件，諸如Evilginx2、
Muraena與Modlishka，但駭客在這波攻擊中使用的是客製化套件，且在文章發表時，相關
攻擊仍在持續中，每天都會註冊新的網釣網站。

所有的攻擊都是始於網釣郵件，並於郵件中嵌入惡意連結，有些企業的主管在被駭之後，
其帳號還被用來寄送更多的網釣郵件，駭客亦濫用合法的CodeSandbox與Glitch等服務（
下圖），以及部署了各種偽裝，以確保不被資安管理人員或安全機制發現。

Zscaler也部署了一個誘捕系統（Honey Pot），造訪駭客所提供的網釣網頁、輸入了憑證
並完成多因素認證，發現駭客在取得憑證的8分鐘之後，便登入了Zscaler所設立的帳號，
不過，駭客只是檢查了該帳號的使用者檔案，並讀取了電子郵件，並未執行其它的惡意行
動。但這8分鐘令Zscaler猜測帳號被危害之後的攻擊行動，是手動而非自動化的。

另一方面，根據美國聯邦調查局（FBI）網路犯罪投訴中心（Internet Crime Complaint
Center，IC3）2021年的統計，商業電子郵件詐騙（Business Email Compromise，BEC）
是去年網路犯罪投訴數量排行榜上的第九名，遠不如網釣、交易詐騙、個資外洩、身分竊
盜或勒索等，但該類型的詐騙卻高居損失排行榜的第一名，去年因BEC而造成的損失為24
億美元，占所有網路犯罪金額的35%，也無怪乎駭客費力部署AiTM的最終目的是進行商業
電子郵件詐騙。

Zscaler亦已公布此波大規模網釣攻擊的網路入侵指標（IOC）供外界參考。

https://www.ithome.com.tw/news/152306

--