研究人员Office 365网络钓鱼攻击利用实时Active Directory验证

Office 365网络钓鱼攻击利用实时Active Directory验证

研究人员发现了一种使用新技术的网络钓鱼攻击攻击者在进入受害者的登录页面时利用身份验证API实时验证受害者的Office 365凭据。

Armorblox数据科学主管Pras ha nthAru n告诉Th reatpost代表用户运行的应用和服务使用身份验证AP I来访问其数据。Offi ce 365要求应用程序注册才能使用API-但是注册只需要一个电子邮件地址就可以使攻击者无缝利用它们。该应用程序的一些其他配置还要求用户指定一个网站来“接收”身份验证信息。

在研究人员最近发现的网络钓鱼攻击中攻击者使用身份验证API来交叉检查具有组织Azure Acti ve目录的大型企业公司中高级管理人员的凭据。Acti veDirectoryAD是Microsoft的专有目录服务它使管理员可以管理权限和对网络资源的访问。身份验证API使用Azure AD提供身份验证服务。

Armorblox的研究人员在星期四说在网络钓鱼攻击中获得此即时反馈“使攻击者能够在攻击过程中做出明智的反应” 。 “攻击者还立即知道一个真实的受感染凭证并允许他在进行任何补救之前将自己的身份入侵受感染帐户。 ”

网络钓鱼电子邮件

该攻击最初是针对一家未命名公司的高级管理人员而发现的研究人员称这是一家美国品牌被评为2019年全球最具创新力的50家公司之一。发送给该员工的第一封电子邮件的主题为“ACH借方报告”研究人员说这是模仿内部报告的并于周五晚上发送 当时受害者可能会放心。

据研究人员称 目标公司最近更改了域名因此目标公司的公共电子邮件地址不同于其Active D i rectory登录中使用的域名。攻击者意识到了这一变化使研究人员认为该运动是针对性很强的。

研究人员说 “托管网络钓鱼攻击的网站上活动有限并且电子邮件发送到星期五晚上的时间谨慎这也表明这是精心设计的攻击。 ” “我们的估计显示 自6月初以来全球有120次对该网站的奇怪访问。稀疏的数字表明 网络钓鱼诈骗很可能是针对性的而不是喷雾和祈祷。 ”

网上诱骗电子邮件告诉受害者 “查找随附的付款汇款报告截至2020年7月1 1 日凌晨2:53:14谢谢您的生意 ”并指向一个附件该附件看起来像一个文本文件。

“在浏览器中从Offi ce 365打开附件会显示一个与Offi ce 365登录页面相同的网站。用户名已经预先输入。研究人员说这是一条非标准消息 “因为您正在访问敏感信息 因此需要验证密码”。

交叉检查凭证

一旦受害者将其凭据输入网络钓鱼登录页面 Azure Active Directory登录日志就会显示与在附件网页上执行的XHR请求相对应的立即登录尝试。

“没有特殊的漏洞使之成为可能这是对手唯一采用的API ”Arun在给Threatpost的电子邮件中强调说。

如果身份验证成功则将用户重定向到zoom.com。但是如果身份验证失败则用户将被重定向到login.microsoftonl ine.com。研究人员说这可能是一种隐藏网络钓鱼攻击的方法因为这只是在Offi ce 365门户上尝试失败的另一种迹象。如果输入的密码文本为空或太短则迫使用户重试。

研究人员说 “我们的威胁研究人员通过使用测试登录名和虚拟密码更新脚本来验证站点的实时性质并在犹他州的Provo的Azure Acti ve Di rectory登录门户中看到了失败的登录尝试。 ” “正如预期的那样尝试登录的IP地址

162.241 .120.106与网络钓鱼脚本发送凭据的端点相同。 ”

经过进一步调查研究人员发现凭据网络钓鱼页面背后的Web服务托管在teenmooglen[。 ]com上该网站自2020年5月底开始在Al ibaba.com上向新加坡域名注册商注册。

他们说 “该网站由位于印度的托管公司UnifiedLayer托管在美国犹他州Provo的数据中心。 ” “该网站似乎托管着从另一个网站复制的网页。允许与访客进行积极互动的链接都没有一个处于活动状态。 ”