摘要:
6月27日消息,科技媒体bleepingcomputer昨日(6月26日)发布博文,报道称有网络钓鱼活动滥用微软Micr...
6月27日消息,科技媒体bleepingcomputer昨日(6月26日)发布博文,
报道称有网络钓鱼活动滥用微软Microsoft365中的DirectSend功能,以逃避电子邮件安全检测并窃取凭证。注:DirectSend是微软Microsoft365中的一项功能,无需身份验证,支持设备或应用程序向内部收件人发送邮件。该服务支持企业内部的本地设备、应用程序或云服务通过租户的智能主机发送电子邮件,主要是为打印机、扫描仪和其他需要代表公司发送消息的设备设计的。微软在官方日志中,强调其安全性取决于Microsoft365是否配置正确,以及智能主机是否得到了妥善锁定,只有高级用户使用此功能。Varonis的ManagedDataDetectionandResponse(MDDR)团队近期发现,有攻击者利用微软DirectSend功能,已攻击70个不同行业的组织,其中95%的受害者位于美国。攻击者通过PowerShell使用目标公司的智能主机发送邮件,让攻击者可以从外部IP地址发送看似内部的邮件,这种攻击方法可以绕过SPF、DKIM、DMARC等过滤规则。这次钓鱼活动伪装成语音邮件或传真通知,邮件主题为“CallerLeftVMMessage”。附件是标题为'Fax-msg'、'CallerleftVMMessage'、'Play_VM-Now'或'Listen'的PDF文件。
这些PDF文件不含链接到钓鱼页面的链接,而是指示目标使用智能手机相机扫描QR码以收听语音邮件,并且这些文档还带有公司标志,使其看起来更合法。
扫描QR码并打开链接会引导用户到一个显示假微软登录表单的钓鱼网站,用来窃取员工的凭证。为了减轻这种威胁,Varonis建议在ExchangeAdminCenter中启用“RejectDirectSend”设置(于2025年4月推出)。Varonis还建议实施严格的DMARC策略(p=reject),将未经验证的内部消息标记为审查或隔离,以及在ExchangeOnlineProtection中执行SPF硬失败,启用反欺骗策略,并培训员工识别QR码钓鱼尝试。
