最新消息
駭客濫用 M365「直接傳送」功能,發動內部釣魚攻擊
2025-08-11駭客利用 Microsoft 365「直接傳送」功能,偽造內部郵件,繞過資安防線。
網路犯罪分子似乎找到了一種令人不安的新方式,能夠繞過 Microsoft 365 的電子郵件安全防線,向目標用戶發送極具欺騙性的釣魚郵件。這種新戰術利用了 Microsoft 365 的一個合法功能——「直接傳送」(Direct Send),使得惡意郵件看起來像是來自組織內部的使用者,進而成功規避了 SPF、DKIM 和 DMARC 等關鍵的電子郵件身份驗證協議。
資安公司 StrongestLayer 在本週發布的一份報告中詳細記錄了這一技術,他們觀察到攻擊者已成功針對其客戶發動攻擊。StrongestLayer 在報告中指出:「這場攻擊活動成功繞過了 Microsoft Defender 和第三方安全電子郵件閘道,其主要原因在於濫用了受信任的內部通道。」該公司表示,攻擊者冒充了人力資源、財務和高階主管等部門人員的身份,試圖贏得收件人的信任。
報告強調,由於這些惡意郵件「看起來是內部郵件,它們躲過了許多僅適用於外部寄件人的基於政策的檢查。」更令人困擾的是,這些郵件的標頭不是缺失就是格式錯誤,使得追蹤其來源變得異常困難。
Microsoft 已意識到這個問題,並推出了一個選項,允許組織設定自訂的標頭戳記和隔離政策,以偵測那些聲稱是內部通訊但實則不然的郵件。
值得注意的是,Varonis、Barracuda 和 Arctic Wolf 等多家資安廠商也在最近幾週內報告觀察到利用「直接傳送」功能的攻擊活動,這表明駭客正日益轉向這種戰術,以繞過傳統的電子郵件防禦措施並冒充受信任的內部使用者。Varonis 發現攻擊者已利用這種技術鎖定了 70 多個組織,而 Barracuda 則在識別出透過該功能發送惡意二維碼郵件的活動後,將此攻擊向量標記為對組織構成「巨大風險」。Arctic Wolf 目前正在追蹤一場被描述為廣泛利用此漏洞的攻擊活動。
Microsoft 365 的「直接傳送」機制旨在簡化內部訊息傳遞,允許印表機、掃描器、應用程式和其他內部系統在無需身份驗證的情況下,僅憑用戶名和密碼即可向組織內的人員發送電子郵件。這項功能的目的本是為了方便受信任的系統進行內部通訊,但正如許多科技事物一樣,其「簡便性」也為威脅行動者濫用「直接傳送」提供了便利。
正如 StrongestLayer 的執行長兼聯合創始人 Alan Lefort 所解釋的,這項「直接傳送」功能允許來自外部來源的未經身份驗證的郵件發送。它讓任何外部使用者,只要知道目標組織的「直接傳送」端點地址格式(這相對容易推斷),就可以直接向 Microsoft 365 租戶發送郵件。即使郵件不是透過組織的任何官方郵件路徑傳送,系統也會接受它。在 StrongestLayer 調查的攻擊中,威脅行動者能夠從烏克蘭和法國的 IP 位址發送釣魚郵件,而這些郵件卻被系統視為受信任的內部流量。
Lefort 表示,攻擊者是透過外國 IP 位址使用 PowerShell 命令,透過受害者的智能主機(smart hosts)發送郵件的。StrongestLayer 能夠透過關聯失敗的身份驗證標頭與社交工程策略來識別惡意活動,而這些活動可能會被傳統工具所忽略。他說:「攻擊者只需要識別目標可預測的智能主機地址格式,就能夠傳送他們的釣魚郵件。」
StrongestLayer 的首席產品官兼聯合創始人 Joshua Bass 補充說,威脅行動者在發動攻擊時,甚至不需要在目標組織的 M365 環境中擁有任何級別的存取權限或錯誤配置。
Bass 建議組織啟用 Microsoft 的「拒絕直接傳送」(Reject Direct Send)設定,並實施嚴格的 DMARC 政策。他還建議考慮部署「標頭戳記」(header stamping)——即為每封從組織內部發送的郵件標頭添加自訂識別碼,以證明其真實性,並建立機制來隔離未標記的郵件。
Bass 指出,令人不安的是,針對「直接傳送」的攻擊並非孤立事件。自五月以來,駭客已經利用這種手法鎖定了大量組織,其中 95% 的受害者位於美國,主要集中在金融服務、製造和醫療保健等行業。他補充說,攻擊的複雜性也在不斷演變,攻擊者正在利用這種戰術傳播各種惡意內容,從 PDF 中的惡意二維碼,到直接在 HTML 或 SVG 附件/郵件中混淆的釣魚頁面,以竊取使用者憑證。「這項技術由於其高效率和低技術門檻而正被廣泛採用。」