行業新聞與部落格

Darktrace 的最新研究顯示，一場新穎的網路釣魚活動利用了合法的 Dropbox 基礎設施，併成功繞過了多重身份驗證 (MFA) 協議。

此次攻擊凸顯了越來越多的人利用合法的流行服務來誘騙目標下載惡意軟體並洩露登入憑據。

調查結果還表明，攻擊者如何變得善於規避標準安全協議，包括電子信箱檢測工具和 MFA。

Darktrace 威脅研究主管 Hanah Darley 在接受Infosecurity採訪時指出，雖然攻擊者透過模仿使用者收到的正常電子信箱來利用使用者對特定服務的信任是很常見的，但在這種情況下，威脅行為者更進一步，他們利用合法的 Dropbox 雲端儲存平臺進行網路釣魚攻擊。

攻擊者利用 Dropbox 基礎設施

攻擊者於 2024 年 1 月 25 日以 Darktrace 客戶為目標，該組織 SaaS 環境中的 16 名內部使用者收到了來自“no-reply@dropbox [.] com”的電子信箱。這是 Dropbox 檔案儲存服務使用的合法電子信箱地址。

該電子信箱包含一個連結，可引導使用者訪問 Dropbox 上託管的 PDF 檔案，該檔案似乎是以該組織的合作伙伴的名字命名的。

該 PDF 檔案包含一個可疑的連結，指向以前在客戶環境中從未見過的域，名為“mmv-security [.] top”。

研究人員指出，惡意或良性電子信箱與 Dropbox 等合法服務使用的自動電子信箱“幾乎無法區分”。因此，這種方法可以有效規避電子信箱安全工具並說服目標單擊惡意連結。

該電子信箱被 Darktace 的電子信箱安全工具檢測並保留。然而，1 月 29 日，一名使用者收到了來自合法 no-reply@dropbox [.] com 地址的另一封電子信箱，提醒他們開啟之前共享的 PDF 檔案。

儘管該郵件已移至使用者的垃圾檔案中，但該員工繼續開啟可疑電子信箱並點選 PDF 檔案的連結。幾天後，內部裝置連線到惡意連結 mmv-security [.] top。

此連結會導致一個虛假的 Microsoft 365 登入頁面，旨在獲取合法 SaaS 帳戶持有者的憑據。

研究人員補充說，冒充微軟等受信任組織的方法是讓目標顯得合法的有效方法。

攻擊者成功繞過 MFA

1 月 31 日，Darktrace 觀察到來自多個以前從未訪問過該帳戶的異常位置的多次可疑 SaaS 登入。

隨後 2 月 1 日的異常登入與 ExpressVPN 相關，表明威脅行為者使用虛擬專用網路 (VPN) 來掩蓋其真實位置。

這些登入似乎使用了有效的 MFA 令牌，這表明攻擊者已成功繞過組織的 MFA 策略。

研究人員認為，一旦員工洩露了憑證，他們可能在不知不覺中批准了 MFA 身份驗證請求，在自己的裝置上進行身份驗證。

研究人員寫道：“透過使用有效的代幣並滿足必要的 MFA 要求，威脅行為者通常能夠不被傳統安全工具檢測到，這些工具將 MFA 視為靈丹妙藥。”

儘管攻擊者使用合法憑據繞過 MFA，但在識別 SaaS 帳戶上的意外活動後，該組織的安全團隊仍然收到可疑活動的警報。

Darley 告訴Infosecurity，該事件表明組織不能再依賴 MFA 作為抵禦網路攻擊的最後一道防線。

 “在本例中，MFA 繞過現在是攻擊者經常使用的策略，特別是考慮到它成功地授予了對可被利用的共享資源（例如 SharePoint 檔案）的訪問許可權，”她概述道。

威脅行為者表現出毅力

MFA 繞過後不久，Darktrace 觀察到使用 HideMyAss VPN 服務再次異常登入 SaaS 帳戶。

這次，威脅參與者在受感染的 Outlook 帳戶上建立了一條新的電子信箱規則，旨在立即將組織帳戶團隊中的任何電子信箱直接移至“對話歷史記錄”信箱資料夾。

研究人員表示，這種方法旨在透過將惡意電子信箱和對其的任何回覆移動到不常訪問的信箱資料夾來避免檢測。

此外，該演員還發送了主題為“合同不正確”和“需要緊急審查”等主題的後續電子信箱。

研究人員指出：“這可能表明威脅行為者使用受感染的帳戶向組織的帳戶團隊傳送更多惡意電子信箱，以便感染客戶 SaaS 環境中的其他帳戶。”

網路釣魚攻擊具有針對性且複雜

研究人員指出，攻擊者濫用 Dropbox 等合法的第三方解決方案進行網路釣魚攻擊“相對簡單”，而不是依賴自己的基礎設施。

達利評論道：“該案例研究凸顯了網路犯罪分子在實施分階段攻擊方面變得多麼複雜。這些電子信箱本身來自 Dropbox 的合法“無回覆”地址，該地址通常會向客戶傳送通知或連結。”

“電子信箱中包含的連結也指向合法的 Dropbox 儲存端點，其中託管著惡意檔案。它被偽裝成合作夥伴檔案，使電子信箱看起來合法，”她補充道。

生成式人工智慧協助攻擊者

達利指出，生成式人工智慧技術正在產生巨大影響，使攻擊者能夠製作更復雜的網路釣魚訊息。

Darktrace 的2023 年年終威脅報告發現，2023 年下半年觀察到的網路釣魚案件中有超過 25% 包含超過 1000 個字元，這很大程度上歸功於生成式 AI 提供的功能。

“這些不是隻有幾個單詞和一個狡猾的連結的‘僅有效負載’電子信箱，而是經過精心設計和冗長的。還有一些增強型社會工程的案例，其中攻擊者會進入現有的對話執行緒，冒充同事或已知的聯絡人，試圖模仿通訊的語氣，”達利解釋道。

她補充說：“這些更復雜的例項是透過生成人工智慧實現的，這讓不良行為者有更多的時間來制定更大規模的攻擊策略。”