针对 Office 365 的大规模网络钓鱼，窃取凭据并通过邮件传播

最近的网络安全研究中，微软披露了一个大规模、多阶段网络钓鱼活动的详细信息，该活动使用被盗凭据在网络上注册账号，以进一步传播垃圾邮件并扩大感染池。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，这些攻击通过利用未使用多因素身份验证 (MFA) 保护的帐户，从而使攻击者利用目标的自带设备 (BYOD) 政策并引入他们自己的使用窃取的凭据的恶意设备。

恶意攻击分2个阶段进行。第一个阶段是窃取凭据，第二个阶段是利用被盗凭据，其中攻击者使用受感染的帐户通过横向网络钓鱼以及通过出站垃圾邮件在网络之外扩展其在组织内的立足点。

该活动始于用户收到包含一个链接的网络钓鱼诱饵，点击该链接后，收件人将重定向到伪装成 Office 365 登录页面以窃取凭据的钓鱼网站。

凭据盗窃不仅导致不同公司的 100 多个邮箱遭到入侵，而且还使攻击者能够实施收件箱规则来阻止检测。紧随其后的是利用缺乏 MFA 保护将非托管 Windows 设备注册到公司的 Azure Active Directory ( AD ) 实例并传播恶意消息。

通过将攻击者控制的设备连接到网络，这项新技术可以扩大攻击者的立足点，秘密扩散攻击，并在目标网络中横向移动。

为了发起第二波攻击，攻击者利用目标用户的受感染邮箱向受害组织内外的 8,500 多名用户发送恶意邮件，这些电子邮件使用 SharePoint 共享邀请诱饵作为邮件正文，试图让收件人相信共享的 Payment.pdf文件是合法的。

除了开启 MFA 之外，实施良好的凭证卫生和网络分段等最佳实践可以增加攻击者试图通过网络传播的成本。这些最佳实践可以限制攻击者在初始入侵后横向移动和破坏资产的能力，并且应该辅以高级安全解决方案，以提供跨域的可见性并跨保护组件协调威胁数据。