假 Outlook Web Access 登入頁面為餌,鎖定美國國防產業

趨勢科技最近所發表的報告:「Operation Pawn Storm行動」裡,我們提到這個攻擊行動用了三種攻擊手法。在本文中,我們會探討第三種:網路釣魚(Phishing)郵件將受害者導到假的Outlook Web Access登入網頁。

很顯而易見的是,這種做法簡單而有效,並且重複使用。透過一行簡單的 Javascript 程式碼,數百萬的Outlook Web Access(OWA)使用者就可能會成為狡詐但簡單的網路釣魚(Phishing)攻擊受害者。這裡並沒有用到漏洞來進行攻擊。只有使用JavaScript的功能、微軟 OWA 的預覽窗格和兩個錯誤的近似網域。我們已經看到這網路釣魚攻擊被用來針對美國國防產業像 Academi(過去稱為 Blackwater)、SAIC 和 OSCE 等公司。

它如何運作

為了要針對國防產業公司 Academi,攻擊者註冊了兩個近似正常網域的網域名稱:

  1. tolonevvs[點]com(真正的新聞網域是:tolonews.com(關於阿富汗的新聞網站)
  2. academl[點]com(真正的公司網域是:academi.com)

連到近似網域的連結透過魚叉式網路釣魚郵件寄到Academi – 只寄送給可能會想收到來自tolonews.com電子郵件通知的少數員工。

當目標透過 Microsoft Outlook Web Access 的預覽窗格打開電子郵件並點入這些錯誤的近似網域,就會打開新頁籤來載入正常的新聞網站。從攻擊目標的角度來看,他們的瀏覽器會如下所示:

圖1、點入錯誤的近似網域後會在新頁籤中打開真正的新聞網站(點入以看大圖)

這看起來似乎無害,但在新頁籤打開新聞網站的背後還有些小動作。錯誤的近似網站tolonevvs.com其實包含了輕度混淆過的JavaScript程式碼:

圖2、近似網域tolonevvs.com的JavaScript程式碼

 

這JavaScript並非惡意程式碼,因為它只是設定視窗開啟屬性,使其指向一個網址:

window.opener.location = “hxxps://mail[dot] academl[dot]com/owa/auth/logon.aspx?replaceCurrent=1&url=https%3a%2f%2fmail.academi.com%2fowa%2f&tids=lkdmfvlkd”

這代表瀏覽器第一個頁籤的OWA視窗的正常網址被變更成攻擊者所設定的假OWA 伺服器,在此案例中是mail[點]academl[點]com。當受害者看完新聞回到OWA視窗時,他會看到:

圖3、在原本的OWA頁籤打開釣魚網站

 

在此時,攻擊目標可能會認為在閱讀合法網站tolonews.com的新聞時,OWA伺服器將他登出。然而事實是,如果目標再次輸入其認證資訊,他/她的資料就會被攻擊者所截獲。

想知道我們所看到用此技術所進行攻擊的完整細節,請閱讀我們的報告:「Pawn Storm行動」。

不限於 Pawn Storm行動或 OWA
雖然我們看到此技術被用在某些攻擊行動中,但基本上任何有OWA網頁伺服器的公司都有可能成為這種網路釣魚攻擊的受害者。甚至雙因子身分認證也可能無法阻止受害者的信箱被一次性完整的下載。唯一防止這種攻擊的安全方法是關閉OWA的預覽窗格。

其他非OWA的網頁郵件服務使用者也處在危險中。比方說,我們確認了使用Safari閱讀電子郵件的Gmail使用者和使用Safari或Firefox閱讀電子郵件的Yahoo電子郵件使用者都可能成為類似網路釣魚攻擊的受害者。強力提醒使用者輸入資料到登入網頁時要非常小心,確保自己登入到正確的網站,並非一個近似卻錯誤的網站。

@原文出處:Operation Pawn Storm: Putting Outlook Web Access Users at Risk作者:Feike Hacquebord(趨勢科技資深威脅研究員)