Office 365 网络钓鱼活动使用重定向器 URL,检测沙箱逃避检测
微软正在跟踪针对企业的Office 365网络钓鱼行动,这些攻击能够检测到沙盒解决方案并逃避检测。
“我们正在跟踪针对企业的主动式凭证网络钓鱼攻击,该企业使用多种复杂的方法来进行防御规避和社会工程,”微软通过Twitter发表的消息中写道。
“该活动会及时使用与远程工作相关的诱饵,例如密码更新,会议信息,帮助台票等。”
活动背后的威胁参与者利用重定向器URL来检测来自沙箱环境的传入连接。
在检测到沙箱连接后,重定向器会将其重定向到合法站点以逃避检测,同时将来自实际潜在受害者的连接重定向到网络钓鱼页面。
网络钓鱼邮件也被严重混淆,以绕过安全的电子邮件网关。
微软专家还注意到,这一行动背后的威胁分子还在生成自定义子域,用于每个目标的重定向站点。
微软补充说,子域始终包含目标的用户名和组织域名。
为了逃避检测,此子域是唯一的,攻击者将其添加到一组基本域(通常是受感染的站点)中。网上诱骗URL在TLD之后有一个额外的点,后跟收件人的Base64编码的电子邮件地址。
“使用自定义子域有助于提高诱饵的可信度。此外,该活动使用的发件人显示名称中的模式与社会工程学诱饵一致:“密码更新”,“ Exchange保护”,“ Helpdesk-#”,“ SharePoint”,“ Projects_communications”。” 微软继续通过其官方帐户发布的一系列推文继续其发展。
“独特的子域还意味着在该活动中大量的钓鱼URL,这是在逃避检测的尝试。”
攻击者使用诸如“密码更新”,“ Exchange保护”,“ Helpdesk-#”,“ SharePoint”和“ Projects_communications”等显示名称模式欺骗受害者相信邮件来自合法来源,并单击每封电子邮件中嵌入的钓鱼链接。
微软指出,其用于Office 365的Defender产品能够检测网络钓鱼和其他电子邮件威胁,并将威胁数据跨电子邮件和数据,端点,身份和应用程序进行关联。
最近,WMC Global的研究人员发现了一个新的创造性Office 365网络钓鱼活动,该活动正在反转用作登陆页面背景的图像,以避免被扫描网络钓鱼网站的安全解决方案标记为恶意。
7月,来自Check Point的专家报告说,网络犯罪分子越来越多地利用诸如Google Cloud Services之类的公共云服务来针对Office 365用户进行网络钓鱼活动。
