據(jù)Bleeping Computer8月24日消息，一項新的商業(yè)電子郵件泄露 (BEC) 活動正將復(fù)雜的魚叉式網(wǎng)絡(luò)釣魚與中間人攻擊 (AiTM) 策略相結(jié)合，以入侵企業(yè)高管的 Microsoft 365 帳戶，其中包括受多因素身份驗證 （MFA） 保護的帳戶。

Mitiga 的研究人員在一次事件響應(yīng)案例中發(fā)現(xiàn)了這一活動，這是一種典型的商業(yè)電子郵件泄露攻擊，目的是在入侵并監(jiān)控首席執(zhí)行官或首席財務(wù)官等高級員工的賬戶后適時進行通信，并在適當(dāng)?shù)臅r候回復(fù)電子郵件，將大筆資金交易轉(zhuǎn)移到他們控制的銀行賬戶。

在攻擊開始時，攻擊者會向目標(biāo)發(fā)送謊稱付款的公司銀行賬戶由于財務(wù)審計而被凍結(jié)的釣魚郵件，并附有新的付款指令，這些指令會切換到由攻擊者控制的銀行賬戶。

在Mitiga例舉的一個攻擊樣例中，對公司高管的攻擊始于一封看似來自 DocuSign 的網(wǎng)絡(luò)釣魚電子郵件，（DocuSign 是一種在企業(yè)環(huán)境中廣泛使用的電子協(xié)議管理平臺），雖然電子郵件沒有通過 DMARC 檢查，但 Mitiga 發(fā)現(xiàn)， DocuSign 針對垃圾郵件的常見安全錯誤配置有助于它進入目標(biāo)的收件箱。單擊“查看文檔”按鈕時，受害者會被帶到一個欺騙域上的網(wǎng)絡(luò)釣魚頁面，要求收件人登錄到 Windows 域。

發(fā)送給目標(biāo)高管的網(wǎng)絡(luò)釣魚郵件

攻擊者被認(rèn)為使用網(wǎng)絡(luò)釣魚框架（例如 Evilginx2 代理）來進行所謂的中間人攻擊 (AiTM) 。在 AiTM 攻擊期間， Evilginx2 等工具充當(dāng)代理，位于網(wǎng)絡(luò)釣魚頁面和目標(biāo)公司的合法登錄表單之間。由于代理位于中間，當(dāng)受害者輸入他們的憑證并解決 MFA 問題時，代理會竊取 Windows 域生成的Cookie。這時，可以將偷來的Cookie加載到他們自己的瀏覽器中，自動登錄到受害者的賬戶中，并繞過MFA。

攻擊者將手機添加為新的 MFA 設(shè)備

由于有效Cookie可能會過期或被撤銷，因此攻擊者會添加新的 MFA 設(shè)備并將其鏈接到被破壞的 Microsoft 365 帳戶，這一舉動不會生成任何警報或需要與原有帳戶所有者進行進一步交互。

在 Mitiga 看到的案例中，攻擊者添加了一部手機作為新的身份驗證設(shè)備，以確保他們可以不間斷地訪問受感染的帳戶。據(jù)研究人員稱，攻擊者正利用這種隱秘的漏洞幾乎完全地訪問 Exchange 和 SharePoint。根據(jù)日志，他們沒有對受害者的收件箱采取任何行動，大概只是閱讀電子郵件。

然而，攻擊者可能正在等待合適的時機注入他們自己的電子郵件，以將發(fā)票付款轉(zhuǎn)移到攻擊者控制的銀行賬戶中。