恶意代理攻击：云环境中的新威胁

重点摘要

威胁行为者利用一种名为 EvilProxy 的网络钓鱼即服务工具 （PhaaS），针对超过100个组织的基于云的 Microsoft 365账户，影响了150万员工，包括多个高管。研究表明，尽管很多组织已采用多因素认证
（MFA），然而这种攻击手段依然有效，员工凭证被盗现象在过去六个月激增超过100%。专家指出，针对高层管理人员的攻击正在加剧，且网络安全策略必须不断演变，以应对云时代的复杂威胁。

在最近的研究中，Proofpoint 的研究人员暴露了利用 EvilProxy 欺骗性地窃取MFA保护凭证和会话 cookies的攻击模式。过去半年的数据显示，受影响公司的云账户接管事件激增超过100%。研究人员强调，员工凭证极其珍贵，能为攻击者提供访问敏感企业信息和用户账户的途径。

“攻击者设计了复杂的中间人网络钓鱼方案，目的是绕过MFA。”—— Proofpoint研究人员

精确钓鱼手段

EvilProxy 攻击结合了复杂的中间人钓鱼技术与先进的账户接管方法，特别是为应对许多组织日益增长的 MFA 采用。攻击者通常伪装成知名的可信服务，如
DocuSign、Adobe 和企业费用管理系统
Concur。伪装成这些公司的电子邮件中含有恶意链接，触发了一系列复杂的感染链。一旦目标用户输入凭证，攻击者便可在几秒钟内登录其 Microsoft 365账户，显示出这一过程的高效与自动化。

攻击趋势与安全建议

根据研究，威胁行为者的攻击方法针对特定工作职能或部门，并不断进化，以寻找绕过 MFA 的新方法。与普遍认知不同，MFA
并非对抗复杂云威胁的万全之策。一旦攻击者进入企业网络，他们可在不被检测的情况下进行攻击，诸如电子邮件欺诈等。

“像 EvilProxy 这样的 PhaaS 工具，因其具备绕过MFA的功能，正愈加普及，甚至让非技术型网络罪犯也能发起钓鱼攻击。”——
Proofpoint研究人员

高管 和高级管理人员被视为账户接管攻击的有效目标，因为他们通常拥有敏感信息的访问权限，并在组织中扮演重要角色。Keeper Security的联合创始人兼首席执行官 Darren Guccione 指出，这类针对性攻击的数量正大幅增加，且其复杂性也在上升。

“随着越来越多的组织转向云及多云环境，攻击面也剧增。”—— Darren Guccione

Roy Akerman，Rezonate的联合创始人兼首席执行官，补充说，凭证被盗意味着攻击者实质上窃取了身份和权利。他提到，很多组织由于攻击者能够有效破解MFA等工具，面临风险。

“在云时代，我们的网络防御策略必须不断演变。”—— Roy Akerman

总结：
保障云环境安全不仅是保护凭证的问题，更需主动为潜在的凭证泄露做好准备。为了适应不断变化的安全形势，组织应关注基于上下文的身份验证和动态风险授权，同时提高密码的安全性及使用习惯。优质的网络安全实践能够显著降低此类攻击带来的风险。