研究人员Office 365网络钓鱼攻击利用实时Active Directory验证

钓鱼攻击  时间:2021-02-21  阅读:()

Office 365网络钓鱼攻击利用实时Active Directory验证

研究人员发现了一种使用新技术的网络钓鱼攻击攻击者在进入受害者的登录页面时利用身份验证API实时验证受害者的Office 365凭据。

Armorblox数据科学主管Pras ha nthAru n告诉Th reatpost代表用户运行的应用和服务使用身份验证AP I来访问其数据。Offi ce 365要求应用程序注册才能使用API-但是注册只需要一个电子邮件地址就可以使攻击者无缝利用它们。该应用程序的一些其他配置还要求用户指定一个网站来“接收”身份验证信息。

在研究人员最近发现的网络钓鱼攻击中攻击者使用身份验证API来交叉检查具有组织Azure Acti ve目录的大型企业公司中高级管理人员的凭据。Acti veDirectoryAD是Microsoft的专有目录服务它使管理员可以管理权限和对网络资源的访问。身份验证API使用Azure AD提供身份验证服务。

Armorblox的研究人员在星期四说在网络钓鱼攻击中获得此即时反馈“使攻击者能够在攻击过程中做出明智的反应” 。 “攻击者还立即知道一个真实的受感染凭证并允许他在进行任何补救之前将自己的身份入侵受感染帐户。 ”

网络钓鱼电子邮件

该攻击最初是针对一家未命名公司的高级管理人员而发现的研究人员称这是一家美国品牌被评为2019年全球最具创新力的50家公司之一。发送给该员工的第一封电子邮件的主题为“ACH借方报告”研究人员说这是模仿内部报告的并于周五晚上发送 当时受害者可能会放心。

据研究人员称 目标公司最近更改了域名因此目标公司的公共电子邮件地址不同于其Active D i rectory登录中使用的域名。攻击者意识到了这一变化使研究人员认为该运动是针对性很强的。

研究人员说 “托管网络钓鱼攻击的网站上活动有限并且电子邮件发送到星期五晚上的时间谨慎这也表明这是精心设计的攻击。 ” “我们的估计显示 自6月初以来全球有120次对该网站的奇怪访问。稀疏的数字表明 网络钓鱼诈骗很可能是针对性的而不是喷雾和祈祷。 ”

网上诱骗电子邮件告诉受害者 “查找随附的付款汇款报告截至2020年7月1 1 日凌晨2:53:14谢谢您的生意 ”并指向一个附件该附件看起来像一个文本文件。

“在浏览器中从Offi ce 365打开附件会显示一个与Offi ce 365登录页面相同的网站。用户名已经预先输入。研究人员说这是一条非标准消息 “因为您正在访问敏感信息 因此需要验证密码”。

交叉检查凭证

一旦受害者将其凭据输入网络钓鱼登录页面 Azure Active Directory登录日志就会显示与在附件网页上执行的XHR请求相对应的立即登录尝试。

“没有特殊的漏洞使之成为可能这是对手唯一采用的API ”Arun在给Threatpost的电子邮件中强调说。

如果身份验证成功则将用户重定向到zoom.com。但是如果身份验证失败则用户将被重定向到login.microsoftonl ine.com。研究人员说这可能是一种隐藏网络钓鱼攻击的方法因为这只是在Offi ce 365门户上尝试失败的另一种迹象。如果输入的密码文本为空或太短则迫使用户重试。

研究人员说 “我们的威胁研究人员通过使用测试登录名和虚拟密码更新脚本来验证站点的实时性质并在犹他州的Provo的Azure Acti ve Di rectory登录门户中看到了失败的登录尝试。 ” “正如预期的那样尝试登录的IP地址

162.241 .120.106与网络钓鱼脚本发送凭据的端点相同。 ”

经过进一步调查研究人员发现凭据网络钓鱼页面背后的Web服务托管在teenmooglen[。 ]com上该网站自2020年5月底开始在Al ibaba.com上向新加坡域名注册商注册。

他们说 “该网站由位于印度的托管公司UnifiedLayer托管在美国犹他州Provo的数据中心。 ” “该网站似乎托管着从另一个网站复制的网页。允许与访客进行积极互动的链接都没有一个处于活动状态。 ”

spinservers:10Gbps带宽高配服务器月付89美元起,达拉斯/圣何塞机房

spinservers是一家主营国外服务器租用和Hybrid Dedicated等产品的商家,Majestic Hosting Solutions LLC旗下站点,商家数据中心包括美国达拉斯和圣何塞机房,机器一般10Gbps端口带宽,且硬件配置较高。目前,主机商针对达拉斯机房机器提供优惠码,最低款Dual E5-2630L v2+64G+1.6TB SSD月付89美元起,支持PayPal、支付宝等...

HostYun(22元/月)全场88折优惠香港原生IP大带宽

在之前的一些文章中有提到HostYun商家的信息,这个商家源头是比较老的,这两年有更换新的品牌域名。在陆续的有新增机房,价格上还是走的低价格路线,所以平时的折扣力度已经是比较低的。在前面我也有介绍到提供九折优惠,这个品牌商家就是走的低价量大为主。中秋节即将到,商家也有推出稍微更低的88折。全场88折优惠码:moon88这里,整理部分HostYun商家的套餐。所有的价格目前都是原价,我们需要用折扣码...

Hostodo:$19.99/年KVM-1GB/12GB/4TB/拉斯维加斯

Hostodo发布了几款采用NVMe磁盘的促销套餐,从512MB内存起,最低年付14.99美元,基于KVM架构,开设在拉斯维加斯机房。这是一家成立于2014年的国外VPS主机商,主打低价VPS套餐且年付为主,基于OpenVZ和KVM架构,产品性能一般,数据中心目前在拉斯维加斯和迈阿密,支持使用PayPal或者支付宝等付款方式。下面列出几款NVMe硬盘套餐配置信息。CPU:1core内存:512MB...

钓鱼攻击为你推荐
office2016激活密钥office2016怎么激活啊?求秘钥打开网页出现错误显示网页上错误,打不开网页怎么办打开网页出现错误为什么打不开网页,出错硬盘人什么叫“软盘人”和“硬盘人”?小米3大概多少钱小米3现在多少钱奇虎论坛奇虎问答是什么mate8价格华为mate8什么时候会降价二层交换机二层交换机是什么意思,三层呢虚拟专用网安卓手机的虚拟专用网设置是什么东西?怎么用?电子商务网站模板电子商务网站模板哪个好?电子商务网站模板免费建站怎么样?
域名系统 网站域名备案 hostigation 132邮箱 名片模板psd NetSpeeder 阿里云代金券 私有云存储 php免费空间 云全民 微信收钱 可外链网盘 免费测手机号 国外免费asp空间 美国独立日 dnspod 西安主机 中国linux 谷歌台湾 lamp是什么意思 更多