被黑客攻击的SharePoint站点用于绕过安全的电子邮件网关

 
新广告系列背后的网络钓鱼者已转而使用受感染的SharePoint网站和OneNote文档将潜在受害者从银行部门重定向到其着陆页。
攻击者利用这样一个事实，即基于Microsoft网络的协作平台使用的域几乎总是被安全的电子邮件网关所忽视，这使得他们的网络钓鱼邮件能够定期到达目标的收件箱。
作为此新网络钓鱼活动的一部分发送的电子邮件是从受感染的帐户发送的，并将要求目标通过Cofense网络事件响应研究人员发现的邮件中嵌入的URL审核法律评估员提案。
网络钓鱼电子邮件样本
“SharePoint是提供二级恶意URL的初始交付机制，允许威胁行为者绕过任何电子邮件边界技术，”Cofense发现。
此URL链接到攻击者控制的SharePoint网站，该网站使用被黑客入侵的帐户创建，该帐户托管恶意制作的OneNote文档，该文档旨在难以辨认，并要求目标通过嵌入式链接下载完整版本，该链接实际上将银行员工发送到网络钓鱼页面。
一旦目标到达网络钓鱼登陆页面，他们就会看到一个模仿OneDrive for Business登录页面的网页，并在登录表单上方显示一条消息，说明“此文档是安全的，请登录查看，编辑或下载。请在下面选择一个选项接着说。”
恶意OneNote文档
选择的选项是使用Office 365帐户登录或使用任何其他电子邮件提供商提供的帐户登录，这是一种流行的网络钓鱼技术，旨在获取任何类型的凭据(如果目标没有或不想使用Microsoft登录)帐户。
在受害者输入凭证进行登录后，BlackShop Tools销售的钓鱼工具包会自动收集这些凭据，并由该活动的运营商使用，随后将信息传递给看起来像另一个被黑客入侵的电子邮件帐户。
此网络钓鱼活动的折衷指标(IOC)包括攻击者使用的IP地址，URL和电子邮件帐户，可在Cofense报告的末尾找到。
网络钓鱼登陆页面
针对不同’鱼’的不同诱饵
在过去几个月中，网络钓鱼团队使用各种各样的方法和技术来收集目标的敏感信息。
例如，上周攻击者使用伪造的简历附件用Quasar远程管理工具(RAT)恶意有效载荷感染他们的受害者，而另一系列攻击使用Google Docs在线文字处理器通过伪装成PDF文档的可执行文件传递TrickBot银行木马
一周前，Instagram用户成为网络钓鱼活动的目标，使用虚假的“失败登录尝试”警告与伪造的2FA代码配对，旨在使骗局更有说服力。
另一个不寻常的广告系列本月探测了电子邮件收件箱，其电子邮件链接到其目标公司品牌的Microsoft 365租户登录页面。
微软研究人员发现了另一个非常奇特的活动，该活动使用自定义404错误页面来欺骗潜在的受害者分发他们的微软凭证。