釣魚網站使用卡巴斯基的SES令牌進行攻擊

犯罪分子通過偽造卡巴斯基的電子郵件地址進行魚叉式攻擊來竊取Office 365憑證。

該安全公司在周一發布的一份公告中說，盡管釣魚郵件是來自noreply@sm.kaspersky.com 等發件人的地址，但卡巴斯基確定沒有人發送過這些釣魚郵件。相反，這些郵件是用卡巴斯基合法的亞馬遜簡易電子郵件服務(SES)令牌發送的。

亞馬遜SES是一種可擴展的電子郵件服務，它允許開發者在營銷或大規模電子郵件通信等任何應用場景發送郵件。

根據卡巴斯基的解釋，這個訪問令牌是在測試網站2050.earth時分發給第三方承包商的。2050.earth網站是卡巴斯基的一個項目，它有一個互動地圖，未來學家和其他人可以使用該地圖推測未來幾十年地球會發生什么。并且該網站托管在亞馬遜的基礎設施上。

卡巴斯基說，在發現它所說的Office 365憑證魚叉式攻擊頻率大幅上升后，這些攻擊很可能是來自多個威脅攻擊者，之后安全人員對SES令牌立即進行了撤銷。

根據官方發布的內容，這次釣魚攻擊沒有造成任何損失，在2050.earth和相關服務中沒有發現服務器被破壞、未經授權的數據庫訪問或任何其他惡意活動。

 攻擊誘餌：虛假的傳真

釣魚網站是網絡犯罪分子通過精心設計電子郵件來欺騙人們，并且讓他們交出在線賬戶的憑據的一種常見方式。釣魚攻擊者有時會通過冒充受信任的公司(如卡巴斯基)、應用程序或其他機構來欺騙人們，將受害者引導到專門制作的釣魚網站內，欺騙他們輸入憑據，讓他們以為這是個合法的網站。

Office 365憑證是網絡釣魚攻擊的一個很常見的攻擊目標。例如，今年3月，研究人員就發現了一個專門針對保險和金融服務行業高管進行攻擊的網絡釣魚騙局，其目的是獲取他們的微軟365憑證并發起商業電子郵件泄露(BEC)攻擊。

這個以卡巴斯基為主題進行釣魚攻擊的網絡犯罪分子并沒有冒充卡巴斯基的員工。相反，這些釣魚郵件通常都聲稱是 "傳真通知"，通過引誘目標進入虛假的網站，然后獲取微軟在線服務的憑證。這早已經不是第一次使用 "傳真通知 "這種古老的詐騙術語了。2020年12月，Office 365的證書也受到了相同攻擊方式的攻擊。

卡巴斯基的釣魚郵件是從各種虛假的卡巴斯基網址發出的，它們來自多個網站，包括亞馬遜的網絡服務基礎設施。

卡巴斯基提供了下面的釣魚郵件樣本。

分析顯示，這些網絡釣魚活動使用的是一個被卡巴斯基研究人員稱為 "Iamtheboss "的網絡釣魚工具包，還有另一個被稱為 "MIRCBOOT "的網絡釣魚工具包。

 釣魚平臺BulletProofLink提供的MIRCBOOT服務

MIRCBOOT這個名字可能聽起來很熟悉，可能因為它是微軟最近發現的網絡釣魚工具包之一，當時微軟就發現了一個大規模的、很有組織性的、復雜的網絡釣魚(PhaaS)攻擊平臺，犯罪分子稱之為BulletProofLink。

BulletProofLink是一個秘鑰竊取平臺，該平臺提供了釣魚工具包、電子郵件模板和其他黑客工具，讓用戶定制攻擊活動并開發自己的工具。然后他們利用PhaaS平臺提供的釣魚工具包、電子郵件模板和攻擊所需的托管服務進行攻擊。

MIRCBOOT和BulletProofLink上提供的其他網絡釣魚工具包允許網絡犯罪分子建立網站并購買他們所需的域名來發起網絡釣魚攻擊活動，例如假裝成一家安全公司的員工，就像本案中一樣。