微软在其最新的威胁情报报告中披露,威胁行为者正在滥用SharePoint、OneDrive和Dropbox等合法文件托管服务,以发起商业电子邮件入侵(BEC)攻击。在10月8日的博客文章中,微软研究人员指出,这些攻击通过发送具有受限访问和“只读”限制的文件来绕过标准安全控制。

打开网易新闻 查看精彩图片

攻击策略与目标

研究人员观察到,自4月中旬以来,此类攻击有所增加。攻击者的目标是窃取凭证,并将恶意文件植入受害者的文件共享应用中。受害者随后被引导至恶意网站进行身份验证,从而遭受各种BEC攻击,可能导致财务欺诈、数据泄露和横向移动。

社会工程与逃避检测

研究人员强调,尽管这些活动本质上是普通和机会主义的,但它们涉及复杂的技术来执行社会工程,逃避检测,并将威胁行为者的范围扩大到其他账户和租户。

电子邮件安全专家证实攻击增加。SlashNext电子邮件安全公司的现场CISO Stephen Kowski证实,他的团队在过去几个月中也发现此类复杂的网络钓鱼活动显著增加。Kowski指出,这些攻击利用可信的文件共享平台,使得使用传统方法检测和预防它们尤其困难。

多层防御策略建议

Kowski建议,安全团队应专注于多层防御策略。具体措施包括实施先进的基于浏览器的检测技术,无论恶意内容来自何处,都可以实时识别。此外,团队还应使用人工智能驱动的网络钓鱼检测工具来分析共享文件的上下文和内容。

Oasis Security发现更复杂攻击趋势。Oasis Security产品副总裁Ido Geffen也指出,他的团队发现,更复杂的攻击有所增加,这些攻击试图避开传统安全工具的监测。Geffen表示,他的团队还发现了一个明显的趋势,即攻击者利用合法的非人类身份(例如用于连接第三方SaaS应用程序的服务账户和API)来扩大攻击范围,而传统安全工具往往会忽略这些身份。

Geffen解释道:“这些账户通常拥有较高的权限,而且监控力度不够,因此很容易成为攻击目标。安全团队需要采用更全面的身份安全方法,包括监控服务账户和其他自动连接,因为它们越来越成为针对金融欺诈、数据泄露和横向移动的攻击目标。”