微软披露最近所发现的复杂钓鱼活动,攻击者借由将自己的设备加入企业网络中,以执行进一步的传播活动。这与传统网络钓鱼策略相比,这个多阶段的大规模钓鱼攻击,运用了更新的技术,微软提到,一旦组织没有激活多因素身份验证,攻击者只要窃取凭证,就能通过自带设备(BYOD)注册自己的设备。
这波钓鱼攻击的第一阶段的目标,主要是窃取组织的凭证,标的横跨澳洲、新加坡、印尼和泰国各国,而钓鱼攻击的第二波,则是使用盗来的凭证,发送组织内钓鱼信件扩展立足点,甚至还会发送外网邮件。
在这个案例中,设备注册被用于进一步的网络钓鱼攻击中,而根据微软的观察,在其他案例也有设备注册用于攻击的情形。多因素身份验证可以有效防止攻击者在窃取凭证后,用于访问组织设备或是网络,但未激活多因素验证的组织中,攻击则会无阻碍地在组织网络中进行。
微软提到,网络钓鱼目前仍然是获得初始进入企业内网的最主要攻击手段,而这最新一波的钓鱼攻击代表着,托管设备可见性和保护能力的改进,迫使攻击者开始探寻替代途径。企业在家工作的员工增加,扩大了潜在攻击面,这同时也改变公司内部和外部的网络界限。
攻击者部署各种策略,来针对混合工作、人为错误、影子IT,或是未受管理的应用程序、服务、设备,和其他在标准政策外运行的基础设施。微软表示,这些不受管理的设备,在加入时容易被安全团队遗漏,因此成为可被利用的攻击目标。微软研究人员还指出在这个案例中,最令人担忧的点,是攻击者不只成功连接设备,而且掌握对该设备完全的操作以及控制能力。
微软所公开的这个最新钓鱼攻击,攻击者在第一阶段攻击,入侵多个组织的电子邮件信箱,借由实例收件信箱规则来逃避侦测,并在第二阶段攻击,针对缺乏实例多因素身份验证协议的组织,注册攻击者的非托管设备,发送横向、内部和出站垃圾邮件,进一步传播恶意消息。该攻击显示,当凭证被盗且零信任政策未到位,攻击者的非托管设备,就可能成为组织网络的一部分。