网络钓鱼者滥用Microsoft 365“直接发送”功能伪装内部用户
“直接发送”功能简化了可信系统的内部消息传递,而此次攻击活动成功欺骗了Microsoft Defender和第三方安全邮件网关。
Jai Vijayan,特约撰稿人
2025年8月6日
4分钟阅读
来源:Tada Images via Shutterstock
网络犯罪分子似乎找到了一种令人担忧的新方法,可以绕过Microsoft 365的电子邮件安全防御,向目标用户发送具有说服力的钓鱼邮件。
该技术利用Microsoft 365的一项合法功能“直接发送”(Direct Send),使恶意电子邮件看起来像是来自内部用户。它允许攻击者逃避关键的电子邮件身份验证协议,如SPF、DKIM和DMARC,这些协议有助于验证邮件是否确实来自其声称的域。
伪装内部用户
StrongestLayer的研究人员在本周的一份报告中记录了该技术,此前他们观察到攻击者成功针对其一名客户。该安全供应商在报告中表示:“这次活动成功绕过了Microsoft Defender和第三方安全邮件网关,主要是因为它滥用了受信任的内部渠道。”该安全供应商表示,攻击者伪装了与人力资源、财务和高管套房相关的人员身份,以试图获得电子邮件收件人的信任。
报告称:“由于这些邮件看起来是内部的,它们避开了许多仅适用于外部发件人的基于策略的检查。”由于电子邮件标头全部缺失或格式错误,追踪邮件来源进一步复杂化。
相关:BigID推出影子AI发现功能以发现恶意模型和风险AI数据
StrongestLayer表示,Microsoft已承认该问题,并引入了一个选项,供组织应用自定义标头标记和隔离策略,以检测声称是内部通信但实际上不是的电子邮件。
包括Varonis、Barracuda和Arctic Wolf在内的多家安全供应商报告称,最近几周观察到直接发送利用活动,这表明威胁行为者越来越多地转向这种策略,以绕过传统的电子邮件防御并冒充受信任的内部用户。Varonis发现攻击者使用该技术针对70多个组织,而Barracuda在识别通过该功能传递恶意二维码电子邮件的活动后,将该攻击向量标记为对组织构成“巨大风险”。Arctic Wolf目前正在跟踪其描述为利用此漏洞的广泛活动。
Microsoft 365的直接发送机制允许打印机、扫描仪、应用程序和其他内部系统向组织中的人员发送电子邮件,无需身份验证,仅需用户名和密码。直接发送的目标是使可信系统的内部消息传递变得简单,但与大多数技术相关的事物一样,简单性使得威胁行为者很容易滥用直接发送。
相关:攻击者针对加密货币的基础:智能合约
未经身份验证的电子邮件发送
正如StrongestLayer的首席执行官兼联合创始人Alan Lefort解释的那样,直接发送功能允许从外部来源进行未经身份验证的电子邮件发送。它允许任何外部用户直接向Microsoft 365租户发送电子邮件,只要他们知道租户的直接发送端点的地址格式——这是相对容易弄清楚的事情。即使邮件没有通过组织的任何官方邮件路由,也会被接受。在StrongestLayer调查的攻击中,威胁行为者能够从乌克兰和法国的IP地址发送钓鱼电子邮件,这些IP地址被视为受信任的内部流量,他说。
“他们使用来自外国IP地址的PowerShell命令通过受害者的智能主机发送电子邮件,”Lefort说。StrongestLayer能够通过将失败的身份验证标头与社会工程策略相关联来识别恶意活动,而传统工具可能错过了这些策略。“攻击者只需要识别目标的可预测智能主机地址格式,”就可以传递他们的钓鱼电子邮件,他说。
StrongestLayer的首席产品官兼联合创始人Joshua Bass补充说,威胁行为者不需要目标组织的M365环境中的任何级别的访问或错误配置。
相关:Prime Security赢得Black Hat的初创公司聚焦竞赛
他建议组织启用Microsoft的拒绝直接发送设置,并实施严格的基于域的消息身份验证、报告和一致性(DMARC)策略。他们还应该考虑部署标头标记——基本上,为从组织内部发送的每封邮件的电子邮件标头添加自定义标识符——以证明其真实性,并具有隔离未标记邮件的机制,他说。
根据Bass的说法,令人不安的是,针对直接发送的攻击并非孤立事件。他说,自5月以来,威胁行为者已经以这种策略针对大量组织,并补充说95%的受害者在美国,主要分布在金融服务、制造和医疗保健行业。
重要的是,攻击的复杂性正在不断发展,Bass说,对手使用该策略分发从PDF中的恶意二维码到直接嵌入HTML或SVG附件/电子邮件中的混淆钓鱼页面的所有内容,以获取用户凭据。他补充说:“[该]技术由于高效且技术要求低而越来越被采用。”
关于作者
Jai Vijayan,特约撰稿人
Jai Vijayan是一位经验丰富的技术记者,在IT贸易新闻领域拥有超过20年的经验。他最近是Computerworld的高级编辑,在那里他为该出版物报道信息安全和数据隐私问题。在Computerworld的20年职业生涯中,Jai还报道了各种其他技术主题,包括大数据、Hadoop、物联网、电子投票和数据分析。在加入Computerworld之前,Jai在印度班加罗尔的《经济时报》报道技术问题。Jai拥有统计学硕士学位,居住在伊利诺伊州的Naperville。
查看更多来自Jai Vijayan,特约撰稿人的内容
随时了解最新的网络安全威胁、新发现的漏洞、数据泄露信息和新兴趋势。每天或每周直接发送到您的电子邮件收件箱。
订阅
更多见解
网络研讨会
为更有效的安全合作伙伴关系制定路线图
2025年8月13日
更多网络研讨会
活动
[虚拟活动] 现代企业的战略安全
2025年6月25日
[虚拟活动] 数据泄露剖析
2025年6月17日
更多活动
您可能还喜欢
网络风险
关税可能促使全球网络攻击增加
网络风险
思科确认Salt Typhoon在电信攻击中的利用
网络风险
勒索软件团伙重创东南亚
网络风险
中国Wi-Fi路由器供应商引起美国国会愤怒
特色
查看Black Hat USA会议指南,获取更多来自展会的报道和情报。
编辑选择
一个微型钓鱼人雕像,手持钓竿站在旋转拨号电话上
网络攻击与数据泄露
思科用户数据在网络钓鱼攻击中被盗
思科用户数据在网络钓鱼攻击中被盗
作者:Alexander Culafi
2025年8月4日
3分钟阅读
Dark Reading Confidential黑白标识
网络安全运营
Dark Reading Confidential:资助未来的CVE计划
Dark Reading Confidential:资助未来的CVE计划
作者:Dark Reading Staff
2025年7月30日
现代概念艺术海报,带有古代维纳斯半身像
应用安全
对Vibe编码进行网络安全氛围检查
对Vibe编码进行网络安全氛围检查
作者:Alexander Culafi
2025年7月30日
5分钟阅读
网络研讨会
为更有效的安全合作伙伴关系制定路线图
2025年8月13日
更多网络研讨会
白皮书
burnout漏洞:员工burnout如何成为网络安全的下一个前沿领域
Gone Phishing:如何防御针对组织的持续网络钓鱼尝试
保护企业高管和VIP免受网络攻击
4种方式XDR提升安全计划水平
托管安全与第三方网络风险机会白皮书
更多白皮书
活动
[虚拟活动] 现代企业的战略安全
2025年6月25日
[虚拟活动] 数据泄露剖析
2025年6月17日
更多活动
发现更多
Black Hat
Omdia
与我们合作
关于我们
广告
重印
加入我们
新闻通讯注册
关注我们
版权所有 © 2025 TechTarget, Inc. d/b/a Informa TechTarget。本网站由Informa TechTarget拥有和运营,它是全球网络的一部分,该网络 informs, influences and connects 全球技术买家和卖家。所有版权归他们所有。Informa PLC的注册办公室是5 Howick Place, London SW1P 1WG。在英格兰和威尔士注册。TechTarget, Inc.的注册办公室是275 Grove St. Newton, MA 02466。
首页 | Cookie政策 | 隐私 | 使用条款