攻击者可利用文件共享服务和反向代理获取凭证

最近发现的网络钓鱼活动，涉及攻击者发送包含DRACOON.team链接的社交工程电子邮件。DRACOON.team是一个以安全数据存储、管理和文件共享功能而闻名的文件共享解决方案。当受害者被诱骗访问电子邮件中的链接时，他们会收到一份托管在DRACOON上的PDF文档。该文档包含一个辅助链接，将受害者引导到攻击者控制的服务器，该服务器模拟了Microsoft 365登录门户，并充当反向代理窃取受害者的登录信息和会话cookie。

这些被盗的凭据和cookie可以用来绕过多因素身份验证（MFA），攻击者控制的反向代理充当介于目标和合法身份验证终端(如Microsoft 365登录页面)之间的中间服务器。当受害者与虚假登录页面交互时，反向代理显示真正的登录表单，管理传入请求，并传递来自合法Microsoft 365登录页面的响应。

当用户在页面上输入受害者凭据后，可以立即观察到使用Microsoft 365的登录活动。该活动包括自动访问受害者的邮箱，并进一步传播初始网络钓鱼邮件，这些电子邮件包含用于欺骗受害者的相同链接，并发送到存储在其地址簿中的联系人。

反向代理功能被认为与EvilProxy网络钓鱼套件有关。但是，这里讨论的最近的活动不使用重定向。相反，它使用中间链接到包含到攻击者控制的基础设施链接的文件。这种新方法可以绕过电子邮件安全缓解措施，因为初始链接似乎来自合法来源，并且没有文件被传递到受害者的终端，因为包含该链接的托管文档可以通过浏览器中的文件共享服务器与之交互。

凭证获取事件链

针对这些事件，有关安全团队已经扫描并删除了其服务托管的潜在网络钓鱼附件。此外，被认定负责上传附件的账户已被标记为违反其服务条款而被删除。

调查钓鱼邮件

网络钓鱼邮件来自受害者的供应商，该供应商为他们提供特定的商品和服务。我们怀疑供应商组织内的一名用户的电子邮件遭到攻击，并被用来向受害者发送网络钓鱼邮件。

下图显示了受害者收到的钓鱼电子邮件样本的截图，该邮件巧妙地伪装成了一份采购订单，它在文档链接的标题中包含了供应商的名称，使其更加合法。

钓鱼邮件截图

该链接将用户重定向到以下URL:

https[:]//dracoon[.]team/public/download-shares/RjqetKkzebun7rB6OWWI3kPcpZ3RruPA

这个重定向的链接指向一个存放在Dracoon（德国企业高度安全数据交换平台）网站上的公开共享的PDF文件，用户可以直接与PDF文件交互，而无需下载它，这样就减少了存储在磁盘上的可追踪证据。

Dracoon托管PDF文件，该文件包含到攻击者控制的反向代理服务器的链接

点击链接将用户重定向到一个虚假的Microsoft 365页面，该页面充当Microsoft 365登录请求的反向代理，在此过程中促进了用户凭证的盗窃。通过URL可以识别，该网站明显是在冒充微软365登录页面，合法的微软365登录页面应该是https://login.microsoftonline.com/。

在攻击者控制的反向代理服务器上托管的Microsoft 365登录页面截图

在检查登录页面的页面源时，有一个对名为myscr759609.js的JavaScript文件的引用，该文件包含一组数学函数和算术运算。

查看虚假登录页面源数据

myscr759609.js(检测为Trojan.HTML.PHISH.QURAAOOITB)的内容，其中包含算术和数学函数

当使用Node.js在本地执行时，myscr759609.js被解混淆，显示如下图所示的HTML代码。HTML内容清楚地表明myscr759609.js负责凭证收集、记录这些凭证，然后通过POST请求将收集到的信息上传到未公开的网页。

解混淆后的JavaScript，检测为trojan . html . phish . quraaooithb

通过检查Microsoft 365登录事件和MFA日志，我们可以确认反向代理212.83.170.137的存在，正如设备登录事件列表和相应的登录位置所证明的那样。通过交叉引用趋势科技Vision One的数据和微软365登录事件，我们成功地确定了需要立即关注的账户。

检查Microsoft 365登录事件

此外，MFA事件还提供了有关受攻击账户的宝贵信息。通过将用户与钓鱼页面交互的时间戳与mfalog中记录的时间戳进行比较，这些数据使我们能够调查用户是否在无意中泄露了他们的凭据。

检查MFA认证日志

基于趋势管理的扩展检测和响应(MxDR)的调查

使用Vision One后，事件序列变得显而易见。从截图中可以明显看出，这封钓鱼邮件是发送到一个微软Outlook账户的，用户接着点击了嵌入的链接，链接将他们重定向到Dracoon服务上的PDF文件。

通过Vision One检查一系列事件

PDF文件包含一个附加链接，将用户引导到反向代理凭证收集页面，如下图中的事件所示：托管在Dracoon服务上的文档既可以下载，也可以通过服务内置的PDF查看器进行交互，它允许用户通过浏览器与文档进行交互。

通过Vision One检查一系列事件

评估网络钓鱼攻击的影响在事件响应中至关重要，这为了解组织中受影响帐户的范围提供了有价值的线索。经过分析，我们能够彻底确定网络钓鱼电子邮件的收件人和那些与网络钓鱼链接交互的人。

此外，我们的调查还揭示了这次网络钓鱼活动中使用的一系列额外的Dracoon链接。这些链接还冒充微软365，目的是窃取凭证并使用会话cookie绕过MFA。

安全建议

MFA经常被称赞为防止凭证盗窃和未经授权访问的强大防御。虽然它是一个强大的安全工具，但要认识到，当涉及到保护在线帐户和敏感信息时，MFA并不是灵丹妙药。

当考虑到像EvilProxy攻击这样的威胁时，MFA的局限性就变得很明显了，这些攻击者可以拦截和操纵网络流量，有效地绕过MFA提供的附加安全层。

托管的PDF文件为攻击者提供了规避电子邮件安全措施的有效手段。通过滥用合法的文件共享服务，攻击者能够在逃避检测的同时显著提高他们的成功率，合法服务通常可以绕过大多数现有的安全措施，使它们成为攻击者的诱人工具。

来自已知或可信发件人的电子邮件并不能保证它们完全合法，用户在点击链接或下载附件时必须保持警惕和谨慎，即使是来自可信来源。

定期进行安全意识培训和全面的培训，对用户进行安全意识教育。通过提供详细的信息和实用的指导，用户可以深入了解潜在的风险以及如何缓解风险。此外，有必要强调在访问目标url之前验证其合法性的重要性。

我们不应假设所有网址都是安全的，而应鼓励用户谨慎行事，并采用可靠的方法来确认所访问网站的真实性和安全性，定期进行网络钓鱼攻击模拟演习是提高员工意识的最佳方法。

实现防网络钓鱼MFA，通过实现能够抵御网络钓鱼攻击的MFA方法(例如使用YubiKey等设备的基于fido的身份验证或无密码MFA)，组织可以显著加强其身份验证过程并防止凭证被盗。

电子邮件安全，组织可以通过实施电子邮件安全解决方案来保护员工和用户免受恶意电子邮件的威胁。实现基于域的消息认证、报告和一致性(DMARC)、发件人策略框架(SPF)和域密钥识别邮件(DKIM)也将增强电子邮件的安全性。

持续监控，强烈建议建立一个强大的持续监控系统，集中收集和密切监控日志，特别是Microsoft 365访问和MFA日志，以便及时识别、调查和响应任何可疑的访问活动。