郵件釣魚的新殺招：多階段中間對手攻擊

在微軟最近觀察到的一次BEC（商業電子郵件欺詐）攻擊中，攻擊者利用企業之間的合作伙伴關系連環攻擊了四家金融企業（從一家供應商滲透到目標金融企業）。微軟研究人員發現攻擊者還采用了多階段中間對手網絡釣魚攻擊（AiTM），一種常見的繞過多因素身份驗證（MFA）的技術。

AiTM網絡釣魚攻擊只需要用戶在登錄會話期間手動輸入一次MFA驗證碼（無論是來自短信、電子郵件或者手機APP）即可完成MFA的繞過。

目前AiTM網絡釣魚攻擊已經有大量開源工具包可用，其基本原理是監控受害者與服務驗證之間的流量，在身份驗證完成時捕獲服務返回的會話cookie，用于訪問受害者的賬戶。

執行AiTM最常見的方法之一是使用反向代理，將受害者重定向到攻擊者控制的網站，后者代理目標網站的真實登錄頁面和所有后繼內容交互。

用間接代理繞過MFA

在微軟觀察到的新攻擊案例中，攻擊者使用了自己開發的自定義網絡釣魚工具包，該工具包使用間接代理方法：攻擊者設置的網絡釣魚頁面不提供（代理）來自真實登錄頁面的任何內容，而是完全受攻擊者控制的釣魚頁面。

當受害者與網絡釣魚頁面交互時，攻擊者會使用受害者（登錄釣魚頁面時）提供的憑據啟動與真實網站的登錄會話，然后使用虛假提示向受害者索取MFA代碼。如果受害者提供了MFA代碼，攻擊者會將其用于自己的登錄會話，并直接獲得會話cookie。然后受害者被重定向到一個假頁面。這更符合傳統的釣魚攻擊方法。

微軟研究人員表示：“在這種采用間接代理方式的AitM攻擊中，由于釣魚網站是由攻擊者設置的，因此他們可以根據場景更有效地控制修改顯示的內容。”“此外，由于網絡釣魚基礎設施由攻擊者控制，他們可以靈活地創建多個服務器來逃避檢測。與典型的AitM攻擊不同，目標和實際網站之間沒有代理HTTP數據包。”

一旦攻擊者成功入侵受害者的賬戶，就會生成一個新的訪問代碼以延長他們的訪問時間，然后繼續向該賬戶添加一種新的MFA身份驗證方法——一種使用帶有伊朗號碼的SMS服務的方法。然后，攻擊者創建了一個電子郵件收件箱過濾規則，將所有收到的電子郵件移至存檔文件夾并將它們標記為已讀（用于監控受害者的電子郵件）。

殺傷力堪比軟件供應鏈攻擊

在入侵供應商的電子郵件帳戶后，攻擊者向該供應商的合作企業發送了1.6萬封網絡釣魚電子郵件，收件人同樣被重定向到同一網絡釣魚頁面。

與軟件供應鏈攻擊一樣，這種多階段AitM網絡釣魚和BEC的攻擊組合可呈指數級增長，并且可以深入到信任鏈的下游。根據美國聯邦調查局互聯網犯罪投訴中心(IC3)6月9日的報告，BEC詐騙造成的損失在2021年12月至2022年12月期間增長了17%。BEC攻擊的目標通常是誘騙收件人電匯轉賬，泄露個人隱私和財務信息或轉移加密貨幣。過去10年，IC3在國際上記錄了27.8萬起BEC事件，損失超過500億美元。

微軟研究人員表示：“這種使用間接代理的AitM攻擊是攻擊者為了繞過傳統郵件安全解決方案不斷開發更為復雜的網絡釣魚TTP的一個最新例證。因此，主動尋找并快速響應威脅成為企業網絡安全防御的一個重點工作。”

緩解措施

AiTM攻擊的緩解措施包括使用AitM技術無法攔截的MFA方法，例如使用FIDO 2密鑰和基于證書的身份驗證的方法。企業還可以實施條件訪問策略，使用額外的用戶或設備身份信號（例如IP位置或設備狀態）來評估登錄請求。最后，Microsoft還建議實施持續訪問評估。