標題：攻擊者可利用文件共享服務和反向代理獲取憑證

最近發現的網絡釣魚活動，涉及攻擊者發送包含DRACOON.team鏈接的社交工程電子郵件。 DRACOON.team是一個以安全數據存儲、管理和文件共享功能而聞名的文件共享解決方案。當受害者被誘騙訪問電子郵件中的鏈接時，他們會收到一份託管在DRACOON上的PDF文檔。該文檔包含一個輔助鏈接，將受害者引導到攻擊者控制的服務器，該服務器模擬了Microsoft 365登錄門戶，並充當反向代理竊取受害者的登錄信息和會話cookie。

這些被盜的憑據和cookie可以用來繞過多因素身份驗證（MFA），攻擊者控制的反向代理充當介於目標和合法身份驗證終端(如Microsoft 365登錄頁面)之間的中間服務器。當受害者與虛假登錄頁面交互時，反向代理顯示真正的登錄表單，管理傳入請求，並傳遞來自合法Microsoft 365登錄頁面的響應。

當用戶在頁面上輸入受害者憑據後，可以立即觀察到使用Microsoft 365的登錄活動。該活動包括自動訪問受害者的郵箱，並進一步傳播初始網絡釣魚郵件，這些電子郵件包含用於欺騙受害者的相同鏈接，並發送到存儲在其地址簿中的聯繫人。

反向代理功能被認為與EvilProxy網絡釣魚套件有關。但是，這裡討論的最近的活動不使用重定向。相反，它使用中間鏈接到包含到攻擊者控制的基礎設施鏈接的文件。這種新方法可以繞過電子郵件安全緩解措施，因為初始鏈接似乎來自合法來源，並且沒有文件被傳遞到受害者的終端，因為包含該鏈接的託管文檔可以通過瀏覽器中的文件共享服務器與之交互。

憑證獲取事件鏈

針對這些事件，有關安全團隊已經掃描並刪除了其服務託管的潛在網絡釣魚附件。此外，被認定負責上傳附件的賬戶已被標記為違反其服務條款而被刪除。

調查釣魚郵件網絡釣魚郵件來自受害者的供應商，該供應商為他們提供特定的商品和服務。我們懷疑供應商組織內的一名用戶的電子郵件遭到攻擊，並被用來向受害者發送網絡釣魚郵件。

下圖顯示了受害者收到的釣魚電子郵件樣本的截圖，該郵件巧妙地偽裝成了一份採購訂單，它在文檔鏈接的標題中包含了供應商的名稱，使其更加合法。

釣魚郵件截圖

該鏈接將用戶重定向到以下URL:

https[:]//dracoon[.]team/public/download-shares/RjqetKkzebun7rB6OWWI3kPcpZ3RruPA

這個重定向的鏈接指向一個存放在Dracoon（德國企業高度安全數據交換平台）網站上的公開共享的PDF文件，用戶可以直接與PDF文件交互，而無需下載它，這樣就減少了存儲在磁盤上的可追踪證據。

Dracoon託管PDF文件，該文件包含到攻擊者控制的反向代理服務器的鏈接

點擊鏈接將用戶重定向到一個虛假的Microsoft 365頁面，該頁面充當Microsoft 365登錄請求的反向代理，在此過程中促進了用戶憑證的盜竊。通過URL可以識別，該網站明顯是在冒充微軟365登錄頁面，合法的微軟365登錄頁面應該是https://login.microsoftonline.com/。

在攻擊者控制的反向代理服務器上託管的Microsoft 365登錄頁面截圖

在檢查登錄頁面的頁面源時，有一個對名為myscr759609.js的JavaScript文件的引用，該文件包含一組數學函數和算術運算。

查看虛假登錄頁面源數據

myscr759609.js(檢測為Trojan.HTML.PHISH.QURAAOOITB)的內容，其中包含算術和數學函數

當使用Node.js在本地執行時，myscr759609.js被解混淆，顯示如下圖所示的HTML代碼。 HTML內容清楚地表明myscr759609.js負責憑證收集、記錄這些憑證，然後通過POST請求將收集到的信息上傳到未公開的網頁。

解混淆後的JavaScript，檢測為trojan . html . phish . quraaooithb

通過檢查Microsoft 365登錄事件和MFA日誌，我們可以確認反向代理212.83.170.137的存在，正如設備登錄事件列表和相應的登錄位置所證明的那樣。通過交叉引用趨勢科技Vision One的數據和微軟365登錄事件，我們成功地確定了需要立即關注的賬戶。

檢查Microsoft 365登錄事件

此外，MFA事件還提供了有關受攻擊賬戶的寶貴信息。通過將用戶與釣魚頁面交互的時間戳與mfalog中記錄的時間戳進行比較，這些數據使我們能夠調查用戶是否在無意中洩露了他們的憑據。

檢查MFA認證日誌

基於趨勢管理的擴展檢測和響應(MxDR)的調查使用Vision One後，事件序列變得顯而易見。從截圖中可以明顯看出，這封釣魚郵件是發送到一個微軟Outlook賬戶的，用戶接著點擊了嵌入的鏈接，鏈接將他們重定向到Dracoon服務上的PDF文件。

通過Vision One檢查一系列事件

PDF文件包含一個附加鏈接，將用戶引導到反向代理憑證收集頁面，如下圖中的事件所示：託管在Dracoon服務上的文檔既可以下載，也可以通過服務內置的PDF查看器進行交互，它允許用戶通過瀏覽器與文檔進行交互。

通過Vision One檢查一系列事件

評估網絡釣魚攻擊的影響在事件響應中至關重要，這為了解組織中受影響帳戶的範圍提供了有價值的線索。經過分析，我們能夠徹底確定網絡釣魚電子郵件的收件人和那些與網絡釣魚鏈接交互的人。

此外，我們的調查還揭示了這次網絡釣魚活動中使用的一系列額外的Dracoon鏈接。這些鏈接還冒充微軟365，目的是竊取憑證並使用會話cookie繞過MFA。

安全建議MFA經常被稱讚為防止憑證盜竊和未經授權訪問的強大防禦。雖然它是一個強大的安全工具，但要認識到，當涉及到保護在線帳戶和敏感信息時，MFA並不是靈丹妙藥。

當考慮到像EvilProxy攻擊這樣的威脅時，MFA的局限性就變得很明顯了，這些攻擊者可以攔截和操縱網絡流量，有效地繞過MFA提供的附加安全層。

託管的PDF文件為攻擊者提供了規避電子郵件安全措施的有效手段。通過濫用合法的文件共享服務，攻擊者能夠在逃避檢測的同時顯著提高他們的成功率，合法服務通常可以繞過大多數現有的安全措施，使它們成為攻擊者的誘人工具。

來自已知或可信發件人的電子郵件並不能保證它們完全合法，用戶在點擊鏈接或下載附件時必須保持警惕和謹慎，即使是來自可信來源。

定期進行安全意識培訓和全面的培訓，對用戶進行安全意識教育。通過提供詳細的信息和實用的指導，用戶可以深入了解潛在的風險以及如何緩解風險。此外，有必要強調在訪問目標url之前驗證其合法性的重要性。

我們不應假設所有網址都是安全的，而應鼓勵用戶謹慎行事，並採用可靠的方法來確認所訪問網站的真實性和安全性，定期進行網絡釣魚攻擊模擬演習是提高員工意識的最佳方法。

實現防網絡釣魚MFA，通過實現能夠抵禦網絡釣魚攻擊的MFA方法(例如使用YubiKey等設備的基於fido的身份驗證或無密碼MFA)，組織可以顯著加強其身份驗證過程並防止憑證被盜。

電子郵件安全，組織可以通過實施電子郵件安全解決方案來保護員工和用戶免受惡意電子郵件的威脅。實現基於域的消息認證、報告和一致性(DMARC)、發件人策略框架(SPF)和域密鑰識別郵件(DKIM)也將增強電子郵件的安全性。

持續監控，強烈建議建立一個強大的持續監控系統，集中收集和密切監控日誌，特別是Microsoft 365訪問和MFA日誌，以便及時識別、調查和響應任何可疑的訪問活動。