Office 365 網絡釣魚活動使用重定向器 URL,檢測沙箱逃避檢測
微軟正在跟蹤針對企業的Office 365網絡釣魚行動,這些攻擊能夠檢測到沙盒解決方案并逃避檢測。
“我們正在跟蹤針對企業的主動式憑證網絡釣魚攻擊,該企業使用多種復雜的方法來進行防御規避和社會工程,”微軟通過Twitter發表的消息中寫道。
“該活動會及時使用與遠程工作相關的誘餌,例如密碼更新,會議信息,幫助臺票等。”
活動背后的威脅參與者利用重定向器URL來檢測來自沙箱環境的傳入連接。
在檢測到沙箱連接后,重定向器會將其重定向到合法站點以逃避檢測,同時將來自實際潛在受害者的連接重定向到網絡釣魚頁面。
網絡釣魚郵件也被嚴重混淆,以繞過安全的電子郵件網關。
微軟專家還注意到,這一行動背后的威脅分子還在生成自定義子域,用于每個目標的重定向站點。
微軟補充說,子域始終包含目標的用戶名和組織域名。
為了逃避檢測,此子域是唯一的,攻擊者將其添加到一組基本域(通常是受感染的站點)中。網上誘騙URL在TLD之后有一個額外的點,后跟收件人的Base64編碼的電子郵件地址。
“使用自定義子域有助于提高誘餌的可信度。此外,該活動使用的發件人顯示名稱中的模式與社會工程學誘餌一致:“密碼更新”,“ Exchange保護”,“ Helpdesk-#”,“ SharePoint”,“ Projects_communications”。” 微軟繼續通過其官方帳戶發布的一系列推文繼續其發展。
“獨特的子域還意味著在該活動中大量的釣魚URL,這是在逃避檢測的嘗試。”
攻擊者使用諸如“密碼更新”,“ Exchange保護”,“ Helpdesk-#”,“ SharePoint”和“ Projects_communications”等顯示名稱模式欺騙受害者相信郵件來自合法來源,并單擊每封電子郵件中嵌入的釣魚鏈接。
微軟指出,其用于Office 365的Defender產品能夠檢測網絡釣魚和其他電子郵件威脅,并將威脅數據跨電子郵件和數據,端點,身份和應用程序進行關聯。
最近,WMC Global的研究人員發現了一個新的創造性Office 365網絡釣魚活動,該活動正在反轉用作登陸頁面背景的圖像,以避免被掃描網絡釣魚網站的安全解決方案標記為惡意。
7月,來自Check Point的專家報告說,網絡犯罪分子越來越多地利用諸如Google Cloud Services之類的公共云服務來針對Office 365用戶進行網絡釣魚活動。
