微软旧版ADFS成网络钓鱼新目标:凭证与MFA均遭窃取

根据最新研究显示,黑客正在一项持续进行的网络钓鱼攻击活动中,瞄准全球依赖微软Active Directory Federation Services(ADFS)安全访问系统的组织。

Abnormal Security的分析描述了黑客如何模仿微软的ADFS(一种旧版单点登录(SSO)解决方案,允许员工使用一组凭证在多个应用程序和环境中进行身份验证)来访问企业网络。

攻击者使用伪造的ADFS登录页面诱骗受害者输入这些凭证,以及用于额外保护的任何第二因素认证信息,如一次性密码(OTP)。

Abnormal指出,此次攻击活动之所以成功,是因为攻击者采用了极具迷惑性的网络钓鱼技术,包括使他们的网络钓鱼邮件看起来像是来自可信实体的邮件。例如,攻击往往始于一封设计得像组织IT服务台通知的邮件,通知收件人使用邮件中提供的链接进行紧急更新。

邮件中包含的网址也被进行了模糊处理,模仿了合法ADFS链接的熟悉链接结构,从而有助于它们通过一些链接验证检查,并避免引起受害者的怀疑。

伪造的登录页面也经过精心设计,与被害者组织使用的官方门户完全相同。Abnormal补充说,这些页面会从其合法网站上动态提取相应组织的徽标,并融入特定的品牌元素,如相关颜色和图像。

根据组织的MFA协议,网络钓鱼模板包括旨在窃取用于验证受害者账户所需的特定第二因素信息的表单,包括Microsoft Authenticator、Duo Security和短信验证。

最后,目标会收到一条消息,告知他们可能需要批准一条推送通知或接听一个自动电话,这将目标重定向到官方登录页面,进一步降低他们的怀疑,并完成账户接管。

教育行业因依赖旧技术而成为重点攻击目标

Abnormal观察到了一系列攻击后的活动,其中许多与以财务为目的的攻击有关,包括创建邮件过滤器、横向网络钓鱼和进一步的侦察。

邮件过滤器通常以“推荐”或目标姓名命名,以避免被检测,并使用模糊的关键字,如将“网络钓鱼”写成“hish”,将“帮助台”写成“elpdes”。

“通过使用不明显的术语,威胁行为者降低了安全解决方案或分析人员将过滤器识别为恶意软件的可能性,”Abnormal解释道。

“这些量身定制的技术确保了所有对横向网络钓鱼邮件的回复都被拦截并删除,从而防止了邮箱所有者注意到恶意活动或收到的回复。”

报告指出,此次攻击活动针对了美国、加拿大、澳大利亚和欧洲超过150个组织。目标涉及多个行业,但教育行业(如学校和大学)受到的攻击尤为严重,占攻击总数的50%以上。

Abnormal表示,微软建议组织过渡到其现代身份认证平台Entra,并推测攻击者之所以得逞,是因为许多组织仍然依赖其旧版ADFS系统。

“这种依赖在技术采用周期较慢或依赖旧基础设施的行业中尤为普遍,使它们成为凭证收集和账户接管的主要目标,”报告指出。

报告还指出,教育机构往往网络安全防御能力较弱,且由于预算限制,用户数量多、技术老旧、安全人员少,使其成为理想的目标。Abnormal的发现表明,即使像MFA这样更先进的安全层也可以通过复杂的社会工程学手段被绕过。该公司强调,这证明了他们采用多层网络安全防御策略。

这包括使用高级邮件过滤和行为监控等强大防御措施,提高用户对潜在威胁手段的认识,并过渡到现代平台,而不是依赖旧系统来执行安全访问等关键功能。

打开APP阅读更多精彩内容