针对Microsoft 365的AiTM钓鱼工具包新动态

关键要点

• 新型的Adversary-in-the-Middle（AiTM）钓鱼工具包针对Microsoft 365账户，能够拦截用户凭证及双因素认证（2FA）。
• 该工具包通过“Sneaky Log”借助Telegram平台进行出售，涉及多家被攻击者控制的WordPress网站。
• 针对这类钓鱼攻击，安全团队应考虑采用多重防护措施。

随着网络钓鱼攻击手段的不断进化，研究人员发现了一款新型的Adversary-in-the-Middle (AiTM) 钓鱼工具包，专门针对Microsoft365账户。这款工具的特点在于它能够拦截用户的凭证以及双因素认证（2FA），从而成功绕过诸如电子邮件和安全网络网关等反钓鱼防御措施。

在中，Sekoia的研究人员表示，这些钓鱼页面从至少2024年10月开始流传，并已作为钓鱼即服务（PhaaS）工具包在网络犯罪服务“SneakyLog”中出售。该服务通过Telegram平台的完全功能机器人来运作。

目前，研究人员指出，Sneaky Log的2FA钓鱼页面托管在被攻陷的基础设施上，常常涉及被黑的WordPress网站以及攻击者控制的其他域名。

Oasis Security的研究负责人Elad Luz解释说，这种钓鱼技巧特别“狡猾”，主要有以下几个原因：

• 特别制作： 钓鱼邮件中的链接经过特别设计，能够将受害者的电子邮件地址传送到登录页面，从而实现“自动填写”电子邮件字段。Luz指出，这种行为模仿了合法网站的运作，通常与用户曾经登录的账号相关联。
• 混淆化： 威胁行为者模糊化了Microsoft网页的截图，以创建一个令人信服的登录背景，使其看起来用户在成功登录后能够访问合法内容。
• 可信的展示方式： 威胁行为者在网页上实施了常见的方法来区分人类用户和机器用户。如果检测到访客是机器人，页面会显示无害内容或重定向到像Wikipedia这样的合法网站。这种策略帮助躲避了安全系统的自动检测。

Luz指出：“这个钓鱼工具的开发源于一个威胁团伙，并出售给其他团伙，突显了许多网络攻击的协作本质。这些恶意工具通常是多个行动者共同努力的结果，进行资源交易。这样的工具包随时可供购买，令人十分担忧。”

LayerX Security的首席执行官Or Eshed补充说，通常，电子邮件和安全网络网关结合使用三种技术： – 对域名的声誉分析 –
与已知钓鱼工具包代码“签名”的比较 – 爬虫工具在网络中捕捉漏洞

在这种情况下，Eshed表示，该攻击“依附”于具有声誉的合法网站，使用可变代码来干扰与已知钓鱼工具包的比较，并利用Cloudflare的免费防火墙服务及CAPTCHA和基于AI的反机器人措施来阻止网络安全爬虫。

Eshed指出：“这使得攻击对传统网络安全工具几乎是不可见的。”

对于希望提升抵御这种新型钓鱼攻击的安全团队，Eshed建议考虑多种防护措施： 1.
采用超越网站声誉和已知签名的钓鱼防护措施，直接检查页面代码以识别可疑行为。 2.
在终端级别部署网页和反钓鱼防护措施，这样不会因会话加密而受到阻碍，也不会像网络解决方案那样影响性能。 3.
利用AI进行高级页面分析，以实现更深入的上下文和意图分析。

SlashNext电子邮件安全的Field CTO StephenKowsi表示，该工具包“狡猾”的方面包括其能够自动填充受害者电子邮件地址的复杂能力、通过Cloudflare的检测逃避，以及巧妙地将安全工具重定向到Wikipedia页面。

Kowski说：“这个工具包是一个完整的PhaaS平台，具有实时凭证和会话cookie盗窃