EvilProxy 钓鱼攻击活动瞄准 Microsoft 365 用户,重点关注 C 级高管,由 BTW Media 编撰,因为公开证据将其与互联网基础设施、治理、运营依赖性或市场可见性联系起来。
EvilProxy 钓鱼攻击活动瞄准 Microsoft 365 用户,重点关注 C 级高管,被跟踪为互联网基础设施生态系统中的互联网基础设施机构。
EvilProxy 钓鱼攻击活动瞄准 Microsoft 365 用户,重点关注 C 级高管,在公开来源中与网络运营、治理、依赖性映射或市场结构相关。
EvilProxy 钓鱼攻击活动瞄准 Microsoft 365 用户,重点关注 C 级高管,被跟踪为互联网基础设施生态系统中的互联网基础设施机构。
市场 构成这份档案的证据框架。
钓鱼攻击活动正瞄准 C 级高管。EvilProxy 钓鱼平台作为一项强大威胁,已向超过 100 个组织发送 12 万余封钓鱼邮件,企图攻破 Microsoft 365 账户。该活动利用反向代理窃取认证 Cookie,从而绕过 MFA,专门针对高层管理人员。了解其工作原理与防御措施。
EvilProxy 钓鱼攻击活动瞄准 Microsoft 365 用户,聚焦 C 级高管 在这份档案中具有中等影响。
多个公开来源
钓鱼攻击活动旨在获取 C 级高管。这种复杂的威胁已经存在一段时间,现在又卷土重来,以寻求更多受害者。了解其运作方式。
EvilProxy 钓鱼活动瞄准 Microsoft 365 用户,重点关注 C 级高管
EvilProxy 钓鱼平台已成为一种强大威胁,成功攻击了受多因素认证 (MFA) 保护的账户,并引起网络安全专家的担忧。已向超过一百家组织发送了超过 12 万封钓鱼邮件,旨在攻破 Microsoft 365 账户。
C 级高管成为目标
这种云账户接管成功的趋势不断升级,对高层管理人员影响尤为严重。EvilProxy 的攻击活动结合了品牌冒充、逃避机器人检测的战术以及使用开放重定向。
EvilProxy 采用钓鱼即服务模式,利用反向代理操控认证请求和用户凭据。恶意服务器拦截合法登录表单,从而在用户登录时窃取认证 Cookie。此外,由于用户在登录时已经通过了 MFA 挑战,被盗的 Cookie 使黑客能够绕过 MFA。
一个长期存在的问题
Resecurity 在 2022 年 9 月的一份报告中突出了 EvilProxy 的能力,该报告揭示其以每月 400 美元的价格向网络犯罪分子提供,承诺可访问包括 Apple、Google、Facebook、Microsoft、Twitter、GitHub、GoDaddy 和 PyPI 在内的一系列知名账户。
EvilProxy 已被用于发送冒充知名品牌的邮件,如 Adobe、DocuSign 和 Concur。一旦受害者与嵌入链接互动,他们就会通过 YouTube 或 SlickDeals 等平台,经历一条复杂的开放重定向路径。该路径旨在最小化检测的可能性。
最终,受害者会落在 EvilProxy 运营的钓鱼页面上。该页面巧妙地模仿了 Microsoft 365 的登录界面,通常会融入受害者所在组织的主题,以增添真实感。
为了逃避自动扫描工具,攻击者对用户电子邮件地址进行编码,并利用已攻破的合法网站来解码电子邮件地址。
有趣的是,该攻击活动显示出对土耳其 IP 地址的偏好,暗示其可能以土耳其为运营基地。此外,攻击者在选择账户接管阶段的目标时表现出选择性,优先考虑“VIP”人物,而忽略较低级别的人员。在已攻破的账户中,39% 属于 C 级高管,9% 属于 CEO 和副总裁,17% 属于首席财务官。
可能需要基于硬件的安全性
一旦 Microsoft 365 账户被渗透,威胁行为者会引入自己的多因素认证方法以实现持久访问。以 EvilProxy 为典型代表的反向代理钓鱼工具包的兴起,带来了日益严峻的挑战。这些威胁能够执行大规模、高质量的钓鱼活动,破坏安全协议。
对抗 EvilProxy 的对策包括提高安全意识、严格的电子邮件过滤规则以及采用基于 FIDO 的物理密钥。
为了进一步加强账户安全,采用基于硬件的安全密钥是一种推荐策略。Discord 最近采用了这种方法,突显了针对不断演变的钓鱼策略的强大防御机制的重要性。
EvilProxy 钓鱼活动瞄准 Microsoft 365 用户,重点关注 C 级高管