近期,微软365的一个名为”Direct Send”的功能被网络钓鱼活动所利用。这一功能允许企业设备或应用程序以公司域名发送邮件,但由于缺乏认证机制,外部用户也能发送看似来自内部的邮件,从而规避电子邮件安全检测并窃取凭证。
微软建议只有高级用户在配置正确的情况下使用此功能,因为其安全性依赖于微软365是否正确配置以及智能主机是否被妥善保护。
这次钓鱼活动由Varonis Managed Data Detection and Response (MDDR)团队发现,目标涉及超过70个组织,95%的受害者位于美国。主要受害行业包括金融服务、制造、建筑工程以及医疗保险。
攻击通过PowerShell命令进行,利用企业的智能主机发送内部外观邮件,攻击者能通过外部IP地址发送邮件。