探索网络安全新技术
攀登黑客技术最高峰

微软专家揭露金融机构AiTM网络钓鱼和BEC攻击

根据Microsoft专家所述,针对银行和金融服务机构的多阶段中间人攻击(AiTM)和商业电子邮件窃取(BEC)攻击日益复杂。攻击源于被感染的受信任供应商,并通过一系列AiTM攻击和跨越多个组织的后续BEC活动来实施。这种攻击利用供应商、合作伙伴和其他组织之间的信任关系,旨在进行金融欺诈。该攻击展示了AiTM和BEC威胁的多层次和复杂性。

根据追踪,攻击者利用名为Storm-1167的AiTM网络钓鱼工具包来实施这次攻击。该工具包由Microsoft追踪并确认为威胁行为者开发、维护和操作。作为威胁行为者跟踪和分类方法的一部分,Microsoft使用Storm-####作为临时名称来标识未知、新兴或正在开发的威胁活动集群,这样可以对其进行跟踪并将其作为一个独特的信息组进行处理,直到对背后的参与者的来源或身份有更高的确认度。

微软专家揭露金融机构AiTM网络钓鱼和BEC攻击-威武网安

具有间接代理的AiTM

AiTM旨在拦截用户与合法身份验证服务之间的身份验证过程,以危害身份或执行其他操作。攻击者将自己置于用户和服务之间,以窃取凭据并拦截多因素身份验证(MFA)以获取会话cookie。然后,攻击者可以在会话cookie过期之前重播会话,无需用户干预或MFA即可冒充用户。通过这个会话,攻击者可以访问受影响用户的资源和应用程序,并进行商业电子邮件窃取攻击和其他恶意活动。

这次攻击采用了间接代理方法的AiTM攻击,攻击者向目标展示一个模仿目标应用程序登录页面的网站,类似传统的网络钓鱼攻击,该网站托管在云服务上。这个伪造的登录页面包含了从攻击者控制的服务器加载的资源,该服务器会发起与目标应用程序的身份验证提供程序的身份验证会话。

在这种采用间接代理方式的AiTM攻击中,由于钓鱼网站是由攻击者设置的,攻击者拥有更多的控制权,可以根据具体情况修改显示的内容。此外,由于网络钓鱼基础设施由攻击者控制,他们可以灵活地创建多个服务器来规避检测。与典型的AiTM攻击不同,目标和实际网站之间没有代理HTTP数据包。

当密码验证成功后请求MFA时,服务器会显示伪造的MFA页面。一旦用户提供了MFA,攻击者就会在与身份验证提供程序启动的会话中使用相同的MFA令牌。身份验证成功后,会话令牌被授予攻击者,而受害者则被重定向到另一个页面。
下图说明这种AiTM攻击的情况:

微软专家揭露金融机构AiTM网络钓鱼和BEC攻击-威武网安

攻击链:AiTM攻击导致BEC

从 AiTM 钓鱼攻击到 BEC 的攻击链:

微软专家揭露金融机构AiTM网络钓鱼和BEC攻击-威武网安

阶段 1:受信任供应商的网络钓鱼电子邮件

攻击始于一封来自目标组织的受信任供应商的网络钓鱼电子邮件,其中包含一个唯一的七位代码作为主题,并包含查看或下载传真文档的链接。该链接指向托管在canva[.]com上的恶意URL。

阶段 2:恶意URL点击

攻击者滥用Canva平台,通过托管虚假的OneDrive文档预览和网络钓鱼链接的页面,利用合法服务和品牌进行网络钓鱼活动。

阶段 3:AiTM攻击

用户点击链接后被重定向到托管在腾讯云上的钓鱼页面,伪装成微软登录。用户输入密码后,攻击者在目标网站的身份验证会话中使用凭据。当出现MFA提示时,攻击者将钓鱼页面伪装成MFA页面。完成多因素身份验证后,攻击者捕获会话令牌。

微软专家揭露金融机构AiTM网络钓鱼和BEC攻击-威武网安

阶段 4:会话 cookie 重播

攻击者使用被盗的有效会话 cookie 冒充用户,绕过密码和 MFA 验证。几小时后,攻击者从美国 IP 地址使用窃取的 cookie 登录,并访问云上的电子邮件和文档。攻击者生成新的访问令牌,延长攻击时间。

阶段 5:MFA 方法修改

攻击者为目标帐户添加新的 MFA 方法,使用未被发现的用户被盗凭据登录。添加新的 MFA 方法无需重新验证。攻击者添加了 OneWaySMS(基于电话的 OTP 服务)作为新的 MFA 方法,并使用带有伊朗国家代码的电话号码接收 OTP。

阶段 6:收件箱规则创建

攻击者使用新的会话令牌登录,并创建了一个收件箱规则,将所有传入电子邮件移动到存档文件夹并将其标记为已读。

微软专家揭露金融机构AiTM网络钓鱼和BEC攻击-威武网安

阶段 7:网络钓鱼活动

攻击者发起了一场大规模的网络钓鱼活动,发送了超过 16,000 封电子邮件,并稍作修改了 Canva URL。电子邮件发送给受感染用户的联系人和通讯组。邮件主题包含独特的七位数代码。

阶段 8:BEC战术

攻击者监视受害用户的邮箱,删除未送达和离开办公室的电子邮件,并回复收件人的疑问以误导受害者。这有助于攻击者持久性地操作。

阶段 9:帐户泄露

点击恶意 URL 的受感染用户成为下一次 AiTM 攻击的目标。

阶段 10:第二阶段BEC

攻击者从一名受感染用户的邮箱发起了第二阶段网络钓鱼活动。Microsoft 撤销了受感染用户的会话 cookie 并干预了第二阶段的攻击。

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《微软专家揭露金融机构AiTM网络钓鱼和BEC攻击》
文章链接:https://www.wevul.com/1514.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 抢沙发

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册