Office 365钓鱼活动使用重定向URL来逃避沙箱检测

E安全11月20日 近日，微软正在跟踪一项针对企业的 Office 365 网络钓鱼行动，这些攻击能够检测到沙盒解决方案并逃避检测。

微软在Twitter上发布的一条消息称:“我们正在追踪一种针对企业的活跃的证书钓鱼攻击，它使用多种复杂的方法进行防御逃避和社会工程。”

“该活动使用与远程工作相关的诱饵，例如密码更新，会议信息等。”

活动背后的威胁参与者利用重定向器 URL 来检测来自沙箱环境的传入连接。

在检测到沙箱连接后，重定向器会将其重定向到合法站点以逃避检测，同时将来自实际潜在受害者的连接重定向到网络钓鱼页面。

网络钓鱼邮件也被严重混淆，以绕过安全的电子邮件网关。

微软专家还注意到，这一行动背后的威胁分子还在生成自定义子域，用于每个目标的重定向站点。

微软补充说，子域始终包含目标的用户名和组织域名。

为了逃避检测，此子域是唯一的，攻击者将其添加到一组基本域（通常是受感染的站点）中。网上诱骗 URL 在 TLD 之后有一个额外的点，后跟收件人的 Base64 编码的电子邮件地址。

“使用自定义子域有助于提高诱饵的可信度。此外，该活动使用的发件人显示名称中的模式与社会工程学诱饵一致：“密码更新”、“ Exchange 保护”、“ Helpdesk-＃”、“SharePoint”、“ Projects_communications”。” 微软继续通过其官方帐户发布的一系列推文继续其发展。

“独特的子域还意味着在该活动中大量的钓鱼 URL，这是在逃避检测的尝试。”

攻击者使用诸如 “密码更新”，“ Exchange 保护”，“ Helpdesk-＃”，“ SharePoint” 和 “ Projects_communications” 等显示名称模式欺骗受害者相信邮件来自合法来源，并单击每封电子邮件中嵌入的钓鱼链接。

微软指出，其用于 Office 365 的 Defender 产品能够检测网络钓鱼和其他电子邮件威胁，并将威胁数据跨电子邮件和数据，端点，身份和应用程序进行关联。

最近，WMC Global 的研究人员发现了一个新的创造性 Office 365 网络钓鱼活动，该活动正在反转用作登陆页面背景的图像，以避免被扫描网络钓鱼网站的安全解决方案标记为恶意。

今年7月，来自Check Point的专家报告说，网络犯罪分子越来越多地利用诸如 Google Cloud Services 之类的公共云服务来针对 Office 365 用户进行网络钓鱼活动。

声明：本文来自E安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。