微软安全报告：威胁活动者利用文件托管服务进行攻击

关键要点

威胁活动者正在滥用 SharePoint、OneDrive 和 Dropbox 等合法文件托管服务发起商业邮件欺诈BEC攻击。这些攻击通过发送具有“查看仅限”限制的文件来规避标准安全控制。从四月中旬开始，此类攻击明显增加，威胁者通过窃取凭证后在受害者的文件共享应用中植入恶意文件。安全团队应采取多层次的防御策略，包括实时检测恶意内容的高级浏览器检测技术和基于 AI 的钓鱼检测工具。

微软的威胁情报团队最近报告称，威胁活动者正在利用合法的文件托管服务如 SharePoint、OneDrive 和 Dropbox 发起商业邮件欺诈BEC攻击。在一篇10月8日的博客文章中，微软的研究人员指出，这些威胁活动者会发送带有限制访问和“查看仅限”权限的文件，这些文件通常更容易绕过标准的安全控制措施。

研究人员注意到，自四月中旬以来，这种攻击的频率显著上升，威胁者利用这些策略窃取凭证，然后将恶意文件植入受害者的文件共享应用中。受害者随后被要求重新身份验证，这将把他们引导到恶意网站，从而导致财务欺诈、数据泄露和横向移动等多种 BEC 攻击。

外网加速器

虽然这些活动是通用和机会主义性的，但它们涉及复杂的技术以实施社会工程、规避检测，并扩大威胁活动者对其他帐户和租户的影响力， 研究人员如是说。

SlashNext Email Security 的现场首席信息安全官 Stephen Kowski 确认他的团队在过去几个月也观察到了这些复杂钓鱼活动的显著增长。

“这些攻击利用受信任的文件共享平台，因此采用传统方法进行检测和防止变得特别具有挑战性，” Kowski 表示。

Kowski 还指出，安全团队应专注于多层次防御策略。具体措施包括实施能够实时识别恶意内容的高级浏览器检测技术，无论其来源如何。团队还应使用基于 AI 的钓鱼检测工具来分析共享文件的上下文和内容。

Oasis Security 的产品副总裁 Ido Geffen 也指出，团队观察到更复杂的攻击在试图避开传统安全工具的监控。Geffen 表示，他们还注意到攻击者通过利用合法的非人类身份例如服务帐户和用于连接第三方 SaaS 应用程序的 API，来扩大其攻击活动，这一趋势越来越明显。

“这些帐户通常具有较高的权限，且监控较少，这是它们成为攻击目标的重要原因， Geffen 解释道。“安全团队需要采用更为全面的身份安全策略，包括监控服务帐户和其他自动化连接，因为它们越来越成为针对财务欺诈、数据泄露和横向移动的攻击中心。”

关键策略描述多层次防御策略采用综合安全策略以应对威胁活动。高级浏览器检测技术实时监测恶意内容，无论其来源。AI 钓鱼检测工具分析文件共享内容，提升安全检测效果。

通过实施这些策略，安全团队能够更有效地抵御新兴的网络威胁，保护组织的数据安全。