数据观澜物联网
快捷导航
您的位置:首页>物联网>>新型钓鱼活动激增,Dropbox被大规模利用 >

新型钓鱼活动激增,Dropbox被大规模利用

  发布时间:2025-12-07 19:53:03   作者:玩站小弟   我要评论
Darktrace的最新研究表明,威胁行为者利用Dropbox的合法基础设施发起了一场新型的钓鱼活动,并成功绕过了多因素认证MFA)。这意味着利用合法的流行服务进行攻击的情况日益增多,以此诱使目标下载 。

Darktrace的新型最新研究表明 ,威胁行为者利用Dropbox的钓鱼大规合法基础设施发起了一场新型的钓鱼活动,并成功绕过了多因素认证(MFA) 。活动

这意味着利用合法的激增流行服务进行攻击的情况日益增多 ,以此诱使目标下载恶意软件 ,模利导致登录凭证泄露 。新型

Darktrace威胁研究负责人汉娜·达利强调 ,钓鱼大规威胁行为者利用用户对特定服务的活动信任,通过模仿用户收到的激增正常电子邮件发起攻击的做法比较常见 。建站模板但在新型钓鱼活动中,模利威胁行为者进一步利用合法的新型 Dropbox 云存储平台进行网络钓鱼攻击  ,这种做法相对新颖。钓鱼大规

威胁行为者利用Dropbox基础设施进行攻击

2024年1月25日,活动威胁行为者对Darktrace的激增一位客户发起了针对性攻击 ,该组织的模利软件即服务(SaaS)环境中的16名用户收到了一封来自“no-reply@dropbox[.]com”的邮件 ,这是Dropbox文件存储服务所使用的官方合法电子邮件地址。

电子邮件中包含了一个链接  ,此链接会引导用户前往一个存放在Dropbox上的源码下载PDF文件 ,而这个PDF文件的名称似乎是以该组织的一个合作伙伴来命名的 。

PDF文件又包含一个指向新域名‘mmv-security[.]top’的可疑链接,此前 ,这个域名在客户的系统环境中从未出现过  。

虽然这封电子邮件被Darktrace的电子邮件安全工具识别并拦截 ,但是 ,在1月29日 ,香港云服务器一位用户收到了另一封来自官方的no-reply@dropbox[.]com邮箱地址的邮件,提醒他们打开之前共享的PDF文件。

尽管这条信息被自动归类到了用户的垃圾邮件文件夹,但该员工还是打开了这封令人怀疑的邮件 ,并且跟随链接查看了PDF文件  。几天后 ,他们的内部设备连接到了恶意链接mmv-security[.]top。

这个链接引导至一个伪造的Microsoft 365登录页面 ,服务器租用其目的是为了获取合法的SaaS账户持有者的登录凭证 。

用户点击PDF文件中的链接后被引导至伪造的微软登录页面 来源 :Darktrace

威胁行为者成功绕过多因素认证(MFA)

1月31日  ,Darktrace观察到多个异常地点出现了几次可疑的SaaS登录行为 ,这些地点以前从未访问过该账户 。紧接着在2月1日  ,又发现了与ExpressVPN相关的异常登录活动,这表明威胁行为者可能利用虚拟私人网络(VPN)来遮掩他们的真实位置。模板下载

研究人员指出 ,通过使用有效的令牌并满足必要的多因素认证(MFA)条件,威胁行为者往往能够避开

传统安全工具的侦测 ,因为这些工具将MFA视为万能的解决方案 。

尽管威胁行为者使用合法凭据绕过了MFA,但在识别到SaaS账户上的异常活动后,该组织的安全团队也会提高警惕 。

Darley在接受Infosecurity采访时表示 ,这一事件表明,组织不能再把MFA作为防御网络攻击的云计算最后一道防线 。因为MFA绕过作为威胁行为者常用的策略之一,在获取像SharePoint文件这类可被滥用的共享资源的访问权限方面已经取得了成功 。

威胁行为者表现出持久性

在绕过多因素认证(MFA)后不久,Darktrace监测到另一起异常登录事件 ,威胁行为者使用HideMyAss VPN服务进入了SaaS账户 。

这次  ,威胁行为者者在受损的Outlook账户中设立了一个新的邮件规则,该规则会自动将财务团队发送的邮件直接转移到“会话历史”文件夹 。

研究人员表示,威胁行为者通过把他们的恶意邮件及其回复转移到不常查看的邮箱文件夹中 ,以此绕过侦测 。

此外 ,威胁行为者还发送了标题为“合同错误”和“需要紧急审核”的跟进邮件 。这表明威胁行为者正在使用被入侵的账户向财务团队发送更多恶意邮件,目的是在客户的SaaS环境中感染更多账户 。

网络钓鱼攻击既有针对性又复杂

研究人员指出,与依赖基础设施相比 ,威胁行为者利用像Dropbox这样的合法第三方解决方案进行钓鱼攻击“相对简单”。

Darley评论道  ,这个研究案例凸显了威胁行为者在多层次的攻击方面变得越来越高明 ,他们通过Dropbox的一个官方‘不接受回复’地址(这类地址通常用于向客户发送通知或链接)发出这些电子邮件 。而电子邮件中的链接表面上指向一个合法的Dropbox存储点  ,实际上存放的却是一个恶意文件。该文件被伪装成合作伙伴文档 ,使电子邮件看上去似乎是合法的 。

生成式AI助攻黑客

Darley强调 ,生成式人工智能技术在帮助威胁行为者编写更精密的钓鱼邮件方面产生了巨大影响  。

根据Darktrace在2023年发布的年终威胁报告,在2023年下半年观测到的钓鱼案例中,超过25%的邮件包含了1000个以上的字符 ,这在很大程度上归功于生成式AI的能力 。

“这些邮件不再是仅含简短文本和可疑链接的‘单一载荷’邮件 ,而是经过精心编写、内容丰富的邮件。还有威胁行为者利用高级社交工程技术,潜入正在进行的对话中,冒充同事或熟人 ,尝试模仿通信的语调 。”Darley解释到 ,“这些高度复杂的实例正是由生成式AI所赋能 ,它让威胁行为者有更多时间去策划大规模的攻击。”

  • Tag:

相关文章

  • 聚焦业务数据安全全流程,新华三夯实数字金融安全底座

    近日,以“夯实安全底座 筑基数字未来”为主题的2023金融业网络安全创新论坛正式召开,现场汇聚了金融机构信息化部门管理者、产业专家学者及网络安全企业代表,共话金融行业数据安全面临的风险挑战和应对之策。
    2025-12-07

  • 安卓android5.0怎么样?

    android5.0怎么样呢?谷歌发布的安卓5.0棒棒糖系统到底如何呢?下文小编就为大家带来安卓5.0系统的评测内容,想知道谷歌最新系统使用效果的朋友可以来下文了解下。 10月16日凌晨
    2025-12-07

  • 精锐V41(探索精锐V41的卓越性能与创新功能,开启智能手机新时代)

    作为科技领域的领先品牌,精锐一直致力于为用户提供高质量的智能手机。在这篇文章中,我们将重点介绍精锐最新推出的V41型号,它将带给用户一种全新的智能手机体验。通过探索V41的卓越性能和创新功能,我们可以
    2025-12-07

  • 技嘉Aero14笔记本电脑(突破性能瓶颈,搭载高端硬件打造出色体验)

    作为一款高性能轻薄本,技嘉Aero14拥有出色的配置和强大的处理能力,以及令人惊叹的设计与质感,成为许多专业人士和游戏爱好者的首选。本文将从多个方面详细介绍技嘉Aero14的优势和特点。1.高性能处理
    2025-12-07

  • 如何创建有效的漏洞优先级排序原则

    Morphisec的首席技术官兼恶意软件研究主管Michael Gorelik讨论了监管框架、不完整的资产清点和手动方法带来的挑战,同时还探讨了自动化系统的作用、面对不断变化的网
    2025-12-07

  • 安卓android5.0怎么一键root?

    android5.0怎么root呢?安卓系统需要root才能获取更多的权限,对于谷歌推出了最新版的安卓5.0,要怎么root呢?下文小编就教大家安卓5.0一键root的方法,不会的朋友可以来下文了解下
    2025-12-07

最新评论