攻擊概述：利用固有信任

與通常依賴相似網域或電子郵件欺騙(Email spoofing) 的傳統網路釣魚攻擊不同，此攻擊完全在 Microsoft 的生態系統內運作。透過利用 Microsoft 可信任服務產生的電子郵件，攻擊者創建了一種網路釣魚內容傳遞機制，這種機制對於技術控制和人類收件者來說都很難識別為惡意內容。該方法透過使用本機 M365 基礎設施來投放看似真實且無縫融合的網路釣魚誘餌，從而有效地繞過了安全措施和用戶懷疑。因此，網域信譽分析、DMARC 實施和反欺騙機制等傳統檢測方法變得無效。

攻擊流程：多租用戶策略

這次襲擊經過精心策劃，分為以下階段：

• 第 1 階段：基礎架構取得
  攻擊者透過註冊新的租用戶或破壞現有的租用戶來控制多個 Microsoft 365 組織租用戶。每個租戶都扮演著特定的策略角色：
  • 租戶 A：促進詐欺攻擊，例如未經授權的購買、觸發計費事件以及產生看似合法的交易記錄。
  • 租戶 B：用於品牌冒充，利用 Microsoft 內建的顯示名稱欄位、標誌和組織 Metadata 來增強可信度並欺騙收件者。
  • 租戶C：充當隱藏的中繼點，利用郵件轉送和傳輸規則濫用來重新路由網路釣魚電子郵件，確保在繞過安全控制的同時進行散播。透過多個租戶進行分散式攻擊功能可最大限度地降低風險、模糊歸屬(Obfuscates attribution) 並確保 Microsoft 受信任環境內的網路釣魚基礎架構的彈性。
• 第 2 階段：技術設定
  一旦建立控制，攻擊者就會使用預設的「onmicrosoft.com」網域建立管理帳戶。關鍵策略包括：
  • 管理員帳戶建立：在「.onmicrosoft.com」網域下產生特權帳戶會降低通常專注於公司網域的標準監控工具的可見度。
  • 郵件轉發濫用：設定傳輸規則並利用內建的 Microsoft 365 轉送機制（SMTP 轉送、收件匣規則和傳輸規則）將訂閱確認電子郵件、服務警報和驗證相關訊息重新導向給受害者。這種對合法電子郵件轉發功能的利用使得詐騙郵件可以無縫融入可信任的電子郵件流，從而繞過傳統的反網路釣魚保護。
• 第 3 階段：欺騙準備
  為了增強網路釣魚攻擊的可信度，攻擊者使用模仿合法 Microsoft 交易通知的誤導性全文訊息來操縱第二個租用戶的組織名稱。這利用了 Microsoft 365 的內建租用戶顯示名稱功能，該功能反映在各種服務產生的電子郵件和介面中。
  • 例如，一個欺騙性組織名稱（租戶）使用如下語句：“（微軟公司）您已使用支票帳戶成功購買了價值 689.89 美元的訂閱。如果您未授權此交易，請致電 1(888) 651-4716 申請退款。”透過利用租戶的組織名稱欄位，攻擊者可以將網路釣魚誘餌直接注入電子郵件中。該訊息沒有發送惡意鏈接，而是指示受害者撥打欺詐性支援電話，從而導致旨在竊取財務資訊、認證或安裝惡意軟體的社會工程攻擊。
  • 這種技術之所以有效，是因為它繞過了 URL 安全機制，利用了 Microsoft 365 可信任基礎設施，並透過營造與金融威脅相關的緊迫感來利用人類心理。
• 第 4 階段：攻擊執行
  為了最大限度地提高合法性，攻擊者在第一個租戶（租戶 A）內發動購買或試用訂閱事件。這會觸發真實的 Microsoft 產生簽章計費電子郵件，並使用 Microsoft 的基礎架構來傳遞看似合法的網路釣魚內容。同時，攻擊者透過操縱第二個租戶（租戶 B）中的組織顯示名稱，確保詐欺訊息嵌入在此可信任通訊管道中。

  攻擊過程包括：

  • 1.攻擊者在租戶 A 內觸發訂閱或購買事件。
  • 2. Microsoft的計費系統會發出一封經過簽署並符合 SPF、DKIM 和 DMARC 政策的確認電子郵件。
  • 3.該電子郵件動態地包含了來自租戶 B 組織資訊的誤導性全文網路釣魚誘餌，通常是帶有欺詐性回撥號碼的虛假收費通知。
  • 4.受害者收到了這封由 Microsoft 產生的合法電子郵件，但嵌入的訊息卻引導他們撥打詐欺性支援電話。由於電子郵件直接來自微軟的基礎設施，因此可以繞過傳統的網路釣魚偵測。
• 第 5 階段：技術合法化
  透過利用 Microsoft 的合法電子郵件基礎設施，攻擊者確保網路釣魚電子郵件通過 Microsoft 的伺服器而不會引發安全警報。來自可信任來源大大增加了電子郵件到達受害者收件匣而不被安全工具標記的可能性。
• 第 6 階段：受害者參與
  Microsoft 的帳單電子郵件中包含組織名稱，在本例中，該名稱被操縱為包含虛假的支援聯絡電話，敦促受害者立即進行互動。與傳統的基於電子郵件的方法相比，這種直接通訊顯著提高了網路釣魚的有效性。

攻擊影響：繞過安全措施並利用信任

這種攻擊方法特別有效，因為：

• 1.它透過使用合法的 Microsoft 基礎設施繞過了傳統的電子郵件安全控制。
• 2.它會產生具有有效身份驗證標記（SPF、DKIM、DMARC）的電子郵件。
• 3.它看起來與未經授權的金融交易有關，從而製造了緊迫感。
• 4.它將攻擊轉移到安全控制較少的語音通道。

技術分析：欺騙性設定

這次攻擊的關鍵在於建立具有「.onmicrosoft.com」網域的合法 Microsoft365 租用戶。關鍵要素是操縱組織的資料訊息，特別是「組織名稱」欄位，攻擊者會在該欄位中填充詐騙訊息，例如「（微軟公司）。您已使用支票帳戶成功購買了 689.89 美元的訂閱。如果您未授權此交易，請致電 1(888) 651-9337 申請退款。」。然後，該文字會自動包含在來自租用戶的各種通訊中，從而有效地將詐騙訊息嵌入到合法的 Microsoft 訂閱電子郵件中。

傳遞的電子郵件具有以下特徵：

• 真實的發送網域：從以 microsoft.com 結尾的位址發送。
• 有效身份驗證：透過 DKIM、SPF 和 DMARC 檢查。
• 合法郵件基礎架構：透過微軟的實際郵件伺服器。
• 令人信服的 UI 元素：包含 Microsoft 標誌、格式和設計元素。

標頭分析證實該電子郵件來自微軟自己的系統。有趣的是，該電子郵件並非直接發送給受害者，而是發送給攻擊者創建的租戶內的位址，這表明使用了微軟的內部路由基礎設施。攻擊者可能利用郵件流規則或其他租用戶級設定將電子郵件路由到受害者的位址，同時將攻擊者維持為返迴路徑，從而創造出合法的 Microsoft 內部通訊的假象。
該電子郵件還融入了引人注目的社會工程元素，包括緊急觸發、合法外觀以及涉及承諾提供「退款」幫助的電話號碼的客戶服務詐騙。

偵測與預防：適應不斷演變的威脅

由於這次攻擊利用了合法的 Microsoft 基礎架構和受信任的電子郵件驗證機制，因此對偵測提出了巨大的挑戰。傳統的電子郵件安全措施在這種情況下基本上無效。
Guardz 成功阻止了這項攻擊並採取措施保護其客戶。為了防禦此類攻擊，以下建議至關重要：

• 增強的電子郵件分析：實施內容檢查，分析組織欄位和 Metadata，並檢查返迴路徑標頭是否存在可疑模式，如 bounces+SRS=* @ .onmicrosoft.com。
• 使用者意識：訓練使用者識別可疑因素，並在撥打未經驗證的號碼前謹慎行事。
• 電話驗證：透過 Microsoft 的官方目錄驗證官方支援號碼，而不是依賴電子郵件中提供的號碼。官方 Microsoft 支援電話號碼可在 Customer service phone numbers 找到。
• 注意未知的 .onmicrosoft.com 網域：對來自不熟悉的 .onmicrosoft.com 網域或新建立的租用戶的通訊保持懷疑。

結論

一場複雜的網路釣魚攻擊正在利用 Microsoft 365 可信任基礎設施有效繞過傳統的電子郵件安全措施和使用者的懷疑。攻擊者透過利用合法的 Microsoft 網域和服務來投放看似高度真實的網路釣魚誘餌來實現此目的。
該攻擊採用多租戶策略，利用多個 Microsoft 365 組織租戶來實現不同目的：欺詐攻擊（租戶 A）、品牌冒充（租戶 B）以及充當隱蔽中繼點（租戶 C）。一個關鍵策略是操縱租用戶 B 中的組織名稱欄位，以嵌入模仿合法 Microsoft 交易通知的誤導性全文訊息，並附帶欺詐性支援電話號碼。然後，這些惡意內容會動態包含在合法的 Microsoft 產生的電子郵件中，例如在租用戶 A 中觸發的帳單確認中。
這種技術非常有效，因為它繞過了 URL 安全機制並利用了 Microsoft 受信任的 .onmicrosoft.com 基礎設施，從而減少了收件者的懷疑。由於電子郵件源自合法的 Microsoft 基礎設施，因此 SPF、DKIM 和 DMARC 等傳統電子郵件安全控制變得無效。
為了防禦此類攻擊，該部落格建議增強電子郵件分析，檢查組織欄位和Metadata，加強用戶意識培訓以識別可疑元素，透過官方管道進行電話驗證，並對不熟悉的 .onmicrosoft.com 網域保持警惕。
最終，這次攻擊凸顯了網路威脅的不斷演變，攻擊者操縱合法系統來達到惡意目的。防禦者必須調整他們的策略，不僅關注傳統的妥協指標，還要關注可信環境中濫用的可能性。識別入侵指標 (IOC)（例如列出的電話號碼和 Microsoft 租用戶）對於偵測和預防類似攻擊至關重要。

參考資料