75000个电子邮件收件箱在新的凭证网络钓鱼活动中受到攻击

供应商表示：“攻击者使用合法的（但可能已弃用的）域将恶意电子邮件偷偷通过安全过滤器。”

到目前为止，大约有 75,000 个电子邮件收件箱受到影响，这似乎是一场以凭据收集为动机的电子邮件网络钓鱼活动。

Armorblox 的安全研究人员本周报告了对跨 Office 365、Microsoft Exchange 和 Google Workspace 环境的客户系统的攻击。许多攻击涉及威胁行为者针对组织内不同部门的一小群员工，显然是为了保持低调。该活动的目标个人包括公司的首席财务官、健康公司的财务和运营高级副总裁、运营总监和教授。

Armorblox 产品营销总监 Abhishek Iyer 表示：“几乎没有证据表明攻击者正在针对任何特定行业。但到目前为止，这些攻击已经影响了多个垂直领域的 Armorblox 客户，包括能源、地方政府、高等教育、软件和电气建设。”

Iyer 说：”对组织内个人的攻击似乎是有针对性的。受害者代表了来自整个企业的高级领导和正式员工的良好组合。“

“当这些员工收到一封看起来可疑的电子邮件时，他们不太可能经常相互交流。”艾耶说。“这增加了某人成为攻击牺牲品的可能性。”

网络钓鱼仍然是威胁行为者在目标网络上获得初步立足点最常用的策略之一。尽管网络钓鱼可能是最容易理解的初始攻击媒介之一，但由于个人用户对网络钓鱼电子邮件的持续敏感性，组织很难解决威胁。

在许多情况下，攻击者在制作网络钓鱼诱饵方面也变得更加复杂，并且越来越多地开始将电子邮件网络钓鱼与基于 SMS 的网络钓鱼 (smshing) 以及基于语音或电话的网络钓鱼 (vishing) 结合起来。

根据反网络钓鱼工作组 (APWG) 的说法，网络钓鱼活动在 2020 年翻了一番，并且在今年上半年一直保持稳定但较高的水平。APWG 表示仅在 2021 年 6 月就观察到222,127 次网络钓鱼攻击，使其成为该组织报告历史上第三严重的月份。金融机构和社交媒体部门是上个季度最常被攻击的目标。

Armorblox 本周报告的攻击涉及使用诱饵来欺骗来自电子邮件加密和安全供应商 Zix 的加密消息通知。该通知虽然与合法的 Zix 通知不同，但与原始通知有足够的相似性，使收件人相信他们收到了有效的电子邮件。攻击者发送恶意电子邮件的域属于一个成立于 1994 年的宗教组织，可能是该组织父域的弃用或旧版本。

Iyer指出:“如果我们要找出邮件越过现有安全控制的任何一个原因，那就是使用合法域名发送邮件。这使得电子邮件可以绕过所有身份验证检查。与大多数网络钓鱼诈骗一样，该活动的其余部分依靠品牌模仿和社会工程来诱骗用户点击欺骗的Zix通知。“

在 Armorblox 观察到的攻击中，威胁行为者似乎有意避免针对单个部门内的多名员工。相反，他们似乎从多个部门中选择了受害者，以增加他们被恶意电子邮件感染的几率。

Iyer说:“这些目标被部门或等级隔离，彼此之间不会讨论可疑的电子邮件。”

“与大多数网络钓鱼攻击一样，威胁参与者使用的策略几乎没有什么新东西。成功的电子邮件攻击的有趣之处在于，他们很少使用前所未见的 TTP 来造成破坏。”他说。

他补充说：“从安全控制的角度来看，对于组织来说，重要的是通过发现行为、语言、通信和其他模式的功能来加强本地电子邮件安全控制，这些功能可以更好地帮助识别网络钓鱼企图。”