恶意代理攻击:云环境中的新威胁

重点摘要

威胁行为者利用一种名为 EvilProxy 的网络钓鱼即服务工具 (PhaaS),针对超过100个组织的基于云的 Microsoft 365账户,影响了150万员工,包括多个高管。研究表明,尽管很多组织已采用多因素认证
(MFA),然而这种攻击手段依然有效,员工凭证被盗现象在过去六个月激增超过100%。专家指出,针对高层管理人员的攻击正在加剧,且网络安全策略必须不断演变,以应对云时代的复杂威胁。

在最近的研究中,Proofpoint 的研究人员暴露了利用 EvilProxy 欺骗性地窃取MFA保护凭证和会话 cookies的攻击模式。过去半年的数据显示,受影响公司的云账户接管事件激增超过100%。研究人员强调,员工凭证极其珍贵,能为攻击者提供访问敏感企业信息和用户账户的途径。

“攻击者设计了复杂的中间人网络钓鱼方案,目的是绕过MFA。”—— Proofpoint研究人员

精确钓鱼手段

EvilProxy 攻击结合了复杂的中间人钓鱼技术与先进的账户接管方法,特别是为应对许多组织日益增长的 MFA 采用。攻击者通常伪装成知名的可信服务,如
DocuSign、Adobe 和企业费用管理系统
Concur。伪装成这些公司的电子邮件中含有恶意链接,触发了一系列复杂的感染链。一旦目标用户输入凭证,攻击者便可在几秒钟内登录其 Microsoft 365账户,显示出这一过程的高效与自动化。

攻击趋势与安全建议

根据研究,威胁行为者的攻击方法针对特定工作职能或部门,并不断进化,以寻找绕过 MFA 的新方法。与普遍认知不同,MFA
并非对抗复杂云威胁的万全之策。一旦攻击者进入企业网络,他们可在不被检测的情况下进行攻击,诸如电子邮件欺诈等。

“像 EvilProxy 这样的 PhaaS 工具,因其具备绕过MFA的功能,正愈加普及,甚至让非技术型网络罪犯也能发起钓鱼攻击。”——
Proofpoint研究人员

高管 和高级管理人员被视为账户接管攻击的有效目标,因为他们通常拥有敏感信息的访问权限,并在组织中扮演重要角色。Keeper Security的联合创始人兼首席执行官 Darren Guccione 指出,这类针对性攻击的数量正大幅增加,且其复杂性也在上升。

“随着越来越多的组织转向云及多云环境,攻击面也剧增。”—— Darren Guccione

Roy Akerman,Rezonate的联合创始人兼首席执行官,补充说,凭证被盗意味着攻击者实质上窃取了身份和权利。他提到,很多组织由于攻击者能够有效破解MFA等工具,面临风险。

“在云时代,我们的网络防御策略必须不断演变。”—— Roy Akerman

总结:
保障云环境安全不仅是保护凭证的问题,更需主动为潜在的凭证泄露做好准备。为了适应不断变化的安全形势,组织应关注基于上下文的身份验证和动态风险授权,同时提高密码的安全性及使用习惯。优质的网络安全实践能够显著降低此类攻击带来的风险。

Leave a Reply

Your email address will not be published. Required fields are marked *