歐洲資安公司被鎖定，駭客濫用思科與Cloudflare服務發動網釣攻擊

資安公司Specops揭露針對歐洲資安公司的複雜釣魚攻擊行動，母公司Outpost24的威脅情報團隊於3月13日發現，有人假借網路設備大廠思科名義從事複雜的網路釣魚活動，其攻擊手法相當複雜，駭客利用多種受到信任的服務，以及遭入侵的基礎設施，來隱藏網釣的意圖，多階段攻擊將受害者導向合法或曾經受到信賴的網域，降低資安系統封鎖的機會。再者，這些駭客也實作基於Cloudflare的圖靈驗證機制，確保只有真實人類才會看到冒牌的登入網頁。

駭客首先寄送偽裝成金融機構JP Morgan的釣魚郵件，並刻意營造成既有郵件串的一部分，提高可信度。郵件內容通常以文件待簽署為誘餌，引導收信人點擊連結。

當收信人點選連結，會經歷多階段重新導向流程，途中會經過合法或已遭入侵的網站，藉此降低被封鎖的機率。值得留意的是，此郵件或文件夾帶的連結，位於secure-web.cisco.com，此網域通常用於改寫電子郵件的連結，確保收件人能安全存取外部網址。

收信人經由思科重新導向後，會被引導到電子郵件API平臺Nylas。Specops認為，攻擊者濫用Nylas是為了產生讓思科視為合法的連結。

接著，他們會被導向看似合法的印度開發公司網域，存取指向PDF文件的網址，但實際上，伺服器並未傳送PDF檔案，而是再將收信人導向www-0159.com，過程裡要求收信人通過Clodflare圖靈驗證，才能存取架設於該雲端服務公司的tradixyu.cfd，最終顯示Microsoft 365登入網頁。值得留意的是，這個釣魚網頁不僅模仿Outlook的載入動畫效果，還會驗證使用者輸入的帳號與密碼是否有效。Specops推測，攻擊者使用的網釣工具包是Kratos。

駭客濫用電子郵件連結防護服務的情況，去年也發生類似的事故。資安公司Cloudflare與Raven發現，有人濫用Proofpoint、Intermedia，以及思科的相關服務，將惡意網址「洗白」。