Check Point Harmony Email Security的研究人员近日发现并分析了一起大规模网络钓鱼活动。攻击者通过滥用Google Cloud Application Integration服务的“发送电子邮件”功能，分发了大量看似源自可信Google基础设施的恶意电子邮件，从而规避了传统的基于发件人信誉和域名的检测机制。

在此次事件中，攻击者在过去14天内向约3200名客户发送了9394封钓鱼邮件。所有邮件均来自合法的Google地址 noreply-application-integration@google.com，这极大地提高了邮件的可信度，使其更有可能成功进入最终用户的收件箱。

攻击方法 根据观察到的电子邮件特征和发件人基础设施，该活动似乎利用了Google Cloud的Application Integration Send Email任务。该功能本用于合法的工作流程自动化和系统通知，允许配置好的集成服务向任意收件人发送邮件。这解释了攻击者为何能够直接从Google拥有的域名分发消息，而无需入侵Google本身。

这种行为表明，攻击者滥用了合法的云自动化功能来伪装成真实的Google通知，同时绕过了传统的检测控制措施。

为了进一步获取信任，这些电子邮件紧密模仿了Google通知的风格和结构，包括熟悉的格式和语言。诱饵通常涉及语音邮件通知，或声称收件人已被授予访问共享文件（如名为“Q4”的文件）的权限，诱使收件人点击内嵌链接并立即采取行动。

链接重定向技术（可视化流程） 如附图所示，这次攻击依赖于一个旨在降低用户怀疑和延迟检测的多阶段重定向流程：

1. 初始点击 用户点击托管在 storage.cloud.google.com（一个可信的Google Cloud服务）上的按钮或链接。在第一步使用合法的云托管URL有助于建立信任，并降低链接被阻止或质疑的可能性。

2. 验证和过滤阶段 链接随后将用户重定向到从 googleusercontent.com 提供的内容，其中会展示一个虚假的CAPTCHA或基于图像的验证。此步骤旨在阻挡自动化扫描器和安全工具，同时允许真实用户继续操作。

3. 最终目的地：凭证窃取 通过验证阶段后，用户被重定向到一个托管在非Microsoft域名上的虚假Microsoft登录页面。在此阶段输入的任何凭证都会被攻击者捕获，从而完成网络钓鱼链条。

这种分层重定向方法结合了可信的云基础设施、用户交互检查和品牌伪装，以最大限度地提高成功率，同时尽量减少早期被检测到的风险。

我们捕获的真实钓鱼邮件示例 （此处应有图片或示例描述，但原文未提供具体图片内容）

受影响对象（过去14天） 按行业划分： 分析显示，该活动主要针对制造业/工业（19.6%）、科技/SaaS（18.9%）和金融/银行/保险（14.8%）组织，其次是专业服务/咨询（10.7%）和零售/消费品（9.1%）。在媒体/广告（7.4%）、教育/研究（6.2%）、医疗/生命科学（5.1%）、能源/公用事业（3.2%）、政府/公共部门（2.5%）、旅游/酒店（1.9%）和运输/物流（0.9%）等行业也观察到了较小规模的活动，其他/未知类别占1.7%。 这些行业通常依赖自动化通知、共享文档和基于权限的工作流程，这使得Google品牌的通知显得尤为可信。

按地区划分： 受影响的组织主要位于美国（48.6%），其次是亚太地区（20.7%）和欧洲（19.8%）。在加拿大（4.1%）、拉丁美洲（3.0%）、中东（2.2%）和非洲（0.9%）也观察到了影响，0.7%的案例来源未知或未分类。 在拉丁美洲境内，活动集中在巴西（41%）和墨西哥（26%），其次是阿根廷（13%）、哥伦比亚（12%）和智利（5%），其他国家占较小份额。

这次活动突显了攻击者如何滥用合法的云自动化和工作流程功能来大规模分发网络钓鱼邮件，而无需使用传统的伪造手段。这强调了持续提高警惕的必要性，特别是当电子邮件包含可点击的链接时，即使发件人、域名和基础设施看起来完全合法。

Google提供了以下声明： “我们已经阻止了多起涉及滥用Google Cloud Application Integration内电子邮件通知功能的网络钓鱼活动。重要的是，此活动源于对工作流程自动化工具的滥用，而非Google基础设施的入侵。虽然我们已经实施了保护措施来防御此次特定攻击，但我们鼓励用户继续保持谨慎，因为恶意行为者经常试图冒充可信品牌。我们正在采取额外措施以防止进一步的滥用行为。”