Darktrace的最新研究表明，威脅行為者利用Dropbox的合法基礎(chǔ)設(shè)施發(fā)起了一場(chǎng)新型的釣魚活動(dòng)，并成功繞過了多因素認(rèn)證（MFA）。

這意味著利用合法的流行服務(wù)進(jìn)行攻擊的情況日益增多，以此誘使目標(biāo)下載惡意軟件，導(dǎo)致登錄憑證泄露。

Darktrace威脅研究負(fù)責(zé)人漢娜·達(dá)利強(qiáng)調(diào)，威脅行為者利用用戶對(duì)特定服務(wù)的信任，通過模仿用戶收到的正常電子郵件發(fā)起攻擊的做法比較常見。但在新型釣魚活動(dòng)中，威脅行為者進(jìn)一步利用合法的 Dropbox 云存儲(chǔ)平臺(tái)進(jìn)行網(wǎng)絡(luò)釣魚攻擊，這種做法相對(duì)新穎。

威脅行為者利用Dropbox基礎(chǔ)設(shè)施進(jìn)行攻擊

2024年1月25日，威脅行為者對(duì)Darktrace的一位客戶發(fā)起了針對(duì)性攻擊，該組織的軟件即服務(wù)(SaaS)環(huán)境中的16名用戶收到了一封來自“no-reply@dropbox[.]com”的郵件，這是Dropbox文件存儲(chǔ)服務(wù)所使用的官方合法電子郵件地址。

電子郵件中包含了一個(gè)鏈接，此鏈接會(huì)引導(dǎo)用戶前往一個(gè)存放在Dropbox上的PDF文件，而這個(gè)PDF文件的名稱似乎是以該組織的一個(gè)合作伙伴來命名的。

PDF文件又包含一個(gè)指向新域名‘mmv-security[.]top’的可疑鏈接，此前，這個(gè)域名在客戶的系統(tǒng)環(huán)境中從未出現(xiàn)過。

雖然這封電子郵件被Darktrace的電子郵件安全工具識(shí)別并攔截，但是，在1月29日，一位用戶收到了另一封來自官方的no-reply@dropbox[.]com郵箱地址的郵件，提醒他們打開之前共享的PDF文件。

盡管這條信息被自動(dòng)歸類到了用戶的垃圾郵件文件夾，但該員工還是打開了這封令人懷疑的郵件，并且跟隨鏈接查看了PDF文件。幾天后，他們的內(nèi)部設(shè)備連接到了惡意鏈接mmv-security[.]top。

這個(gè)鏈接引導(dǎo)至一個(gè)偽造的Microsoft 365登錄頁面，其目的是為了獲取合法的SaaS賬戶持有者的登錄憑證。

用戶點(diǎn)擊PDF文件中的鏈接后被引導(dǎo)至偽造的微軟登錄頁面 來源：Darktrace

威脅行為者成功繞過多因素認(rèn)證（MFA）

1月31日，Darktrace觀察到多個(gè)異常地點(diǎn)出現(xiàn)了幾次可疑的SaaS登錄行為，這些地點(diǎn)以前從未訪問過該賬戶。緊接著在2月1日，又發(fā)現(xiàn)了與ExpressVPN相關(guān)的異常登錄活動(dòng)，這表明威脅行為者可能利用虛擬私人網(wǎng)絡(luò)（VPN）來遮掩他們的真實(shí)位置。

研究人員指出，通過使用有效的令牌并滿足必要的多因素認(rèn)證（MFA）條件，威脅行為者往往能夠避開

傳統(tǒng)安全工具的偵測(cè)，因?yàn)檫@些工具將MFA視為萬能的解決方案。

盡管威脅行為者使用合法憑據(jù)繞過了MFA，但在識(shí)別到SaaS賬戶上的異?；顒?dòng)后，該組織的安全團(tuán)隊(duì)也會(huì)提高警惕。

Darley在接受Infosecurity采訪時(shí)表示，這一事件表明，組織不能再把MFA作為防御網(wǎng)絡(luò)攻擊的最后一道防線。因?yàn)镸FA繞過作為威脅行為者常用的策略之一，在獲取像SharePoint文件這類可被濫用的共享資源的訪問權(quán)限方面已經(jīng)取得了成功。

威脅行為者表現(xiàn)出持久性

在繞過多因素認(rèn)證（MFA）后不久，Darktrace監(jiān)測(cè)到另一起異常登錄事件，威脅行為者使用HideMyAss VPN服務(wù)進(jìn)入了SaaS賬戶。

這次，威脅行為者者在受損的Outlook賬戶中設(shè)立了一個(gè)新的郵件規(guī)則，該規(guī)則會(huì)自動(dòng)將財(cái)務(wù)團(tuán)隊(duì)發(fā)送的郵件直接轉(zhuǎn)移到“會(huì)話歷史”文件夾。

研究人員表示，威脅行為者通過把他們的惡意郵件及其回復(fù)轉(zhuǎn)移到不常查看的郵箱文件夾中，以此繞過偵測(cè)。

此外，威脅行為者還發(fā)送了標(biāo)題為“合同錯(cuò)誤”和“需要緊急審核”的跟進(jìn)郵件。這表明威脅行為者正在使用被入侵的賬戶向財(cái)務(wù)團(tuán)隊(duì)發(fā)送更多惡意郵件，目的是在客戶的SaaS環(huán)境中感染更多賬戶。

網(wǎng)絡(luò)釣魚攻擊既有針對(duì)性又復(fù)雜

研究人員指出，與依賴基礎(chǔ)設(shè)施相比，威脅行為者利用像Dropbox這樣的合法第三方解決方案進(jìn)行釣魚攻擊“相對(duì)簡(jiǎn)單”。

Darley評(píng)論道，這個(gè)研究案例凸顯了威脅行為者在多層次的攻擊方面變得越來越高明，他們通過Dropbox的一個(gè)官方‘不接受回復(fù)’地址（這類地址通常用于向客戶發(fā)送通知或鏈接）發(fā)出這些電子郵件。而電子郵件中的鏈接表面上指向一個(gè)合法的Dropbox存儲(chǔ)點(diǎn)，實(shí)際上存放的卻是一個(gè)惡意文件。該文件被偽裝成合作伙伴文檔，使電子郵件看上去似乎是合法的。

生成式AI助攻黑客

Darley強(qiáng)調(diào)，生成式人工智能技術(shù)在幫助威脅行為者編寫更精密的釣魚郵件方面產(chǎn)生了巨大影響。

根據(jù)Darktrace在2023年發(fā)布的年終威脅報(bào)告，在2023年下半年觀測(cè)到的釣魚案例中，超過25%的郵件包含了1000個(gè)以上的字符，這在很大程度上歸功于生成式AI的能力。

“這些郵件不再是僅含簡(jiǎn)短文本和可疑鏈接的‘單一載荷’郵件，而是經(jīng)過精心編寫、內(nèi)容豐富的郵件。還有威脅行為者利用高級(jí)社交工程技術(shù)，潛入正在進(jìn)行的對(duì)話中，冒充同事或熟人，嘗試模仿通信的語調(diào)?！盌arley解釋到，“這些高度復(fù)雜的實(shí)例正是由生成式AI所賦能，它讓威脅行為者有更多時(shí)間去策劃大規(guī)模的攻擊?！?/p>