针对Microsoft 365账号的AiTM攻击与网络钓鱼新趋势

关键要点

• 攻击者利用反向中间人攻击（AiTM）和网络钓鱼即服务（PhaaS）平台来拦截Microsoft 365用户的凭证和会话Cookie。
• Rockstar 2FA平台是目前广泛应用的网络钓鱼工具，增加了攻击的复杂性和自动化程度。
• 尽管多因素认证（MFA）越来越普及，但AiTM攻击仍然能够绕过这些安全防护措施。
• 安全团队需重视这一威胁，并加强密码管理和登录活动监控。

攻击者被观察到实施一种反向中间人攻击（AiTM）活动，利用一款称为的游戏平台，实现对Microsoft365帐号用户凭证和会话Cookie的拦截。

根据的分析，这一活动与名为Rockstar2FA的PhaaS平台相关，它是DadSec/Phoenix工具包的更新版本，微软将其标记为Storm-1575，研究人员在11月25日的博客中对此进行了说明。

根据Trustwave研究人员的报告，DadSec PhaaS在2023年负责了一些最高量的网络钓鱼活动。Rockstar2FA近期的活动在今年八月有所增加，并且在过去几个月依然活跃。

随着越来越多的组织采用，攻击者们转向利用，通过合法网站代理受害者的凭证，触发MFA提示。Inversion6的事件响应主管TylerHudak解释道，“一旦受害者进行身份验证，令牌或Cookie就会被发送回，使得攻击者能够以受害者身份登录。这个技术使攻击者能够访问受害者的账户，而不必担心使用的MFA类型或方法。AiTM攻击极为常见。根据我的经验，大多数成功的网络钓鱼攻击都在其攻击中使用了AiTM。”

Entro Security的联合创始人兼首席执行官ItzikAlvas表示，虽然过去的网络钓鱼攻击往往是手动进行的，但现代攻击者利用自动化工具迅速建立复杂的基础设施并创建可在黑暗网络上转售的AiTM平台。“这些复杂的攻击平台使用AI个性化信息，并利用机器学习向安全厂商扫描其网站时提供诱饵页面——使其能在较长时间内保持隐蔽，”Alvas说道，“一旦攻击者获取了用户的凭证，他们就会快速在目标环境中横向移动，通过入侵受害者关联的其他非人类身份（如访问敏感数据的个人访问令牌）制造混乱。”

Keeper Security的安全与架构副总裁Patrick Tiquet表示，像Rockstar2FA这样的平台导致的AiTM攻击在PhaaS活动中变得更为常见。尽管并不是所有PhaaS产品都专注于AiTM技术，Tiquet强调这一平台中会话Cookie采集和MFA绕过等功能的加入突出显示了网络钓鱼方法的复杂性持续提高。“安全团队应予以关注，因为这些攻击展示了如果没有构建分层防御，像MFA这样的保护措施如何被绕过，”Tiquet补充道。“有助于执行强密码策略、提供凭证安全管理和登录活动可视化的工具在应对这些威胁时至关重要。”

内容 | 说明
—|—
AiTM攻击 | 攻击者通过合法网站获取用户凭证
PhaaS平台 | 提供专业的网络钓鱼工具和服务
MFA | 多因素认证，安全防护措施
安全策略 | 确保账户安全的工具和