微软近日侦测到黑客对Microsoft 365用户传播BEC商务诈骗信件,不但进入用户信箱,还修改了信箱设置,成功访问受害者的机密信件。
Microsoft 365 Defender研究人员侦测到,这次BEC邮件是一宗利用以多个Web服务的基础架构上发动的大规模攻击。在主要攻击前,黑客先发送一封包含语音邮件及恶意HTML附件的钓鱼信件。等不疑有它的用户点击后,出现假的微软登录页面,以骗取用户输入邮件相信及密码,并将这组资料发送到外部云计算企业。
图片来源_微软
之后攻击者即以这组用户凭证成功访问受害者信箱,并且修改邮件转发规则,以取得机密资料。微软发现多家组织数百个受害信箱被修改转信规则,只要信中包括invoice、payment、statement字样,就会转发到一个攻击者控制的外部信箱。攻击者还加入转发后删除信件的规则,以免被发现。
分析这批信件,微软发现攻击者是利用多个Web服务托管的基础架构,来发动BEC信件攻击。这个架构可支持大量信件作业,包括修改规则、监控信箱、寻找受害者,并接收寄来的信件。
为长期隐匿行动,他们运用外部多个IP和不同时点发送信件,以避免被侦测到,此外也设置多笔和公司域名很像的DNS记录,以便混入现有信件,或用于特定目标的攻击。
虽然激活Microsoft 365的多因素验证,可避免攻击者以窃来的帐密访问信箱,但是微软也发现到,攻击者使用旧式邮件协议,像是IMAP/POP3企图绕过Exchange Online账号的MFA。当黑客使用窃来的凭证登录Exchange Online上的代理程序BAV2ROPC,会启动ROPC OAuth流程。后者使用IMAP/POP3协议,若账号激活MFA,就会回传invalid_grant的消息,而不会送出MFA通知。微软发现特定目标就是以POP3/IAMAP用户端造成信件外泄。
他们另外发现攻击者使用一种C# App称为EmailRuler(下图),可收集受害者信箱凭证及状态,并利用名为Crown EasyEmail的工具,方便窃取受害信箱中的信件。
图片来源_微软
虽然微软谈得不多,但微软上一次MFA验证被绕过,即造成邮件安全商Mimecast云计算服务被攻击,攻击者正是攻击美国软件商SolarisWinds的同一个黑客组织。