如果你剛進入資安領域,可能會覺得只要開啟了多因素驗證 MFA 就很安全,但最近出現的攻擊趨勢告訴我們,攻擊者正在利用人的心理弱點與雲端身分驗證的機制,在極短時間內癱瘓企業。這次我們來分析兩個名為 Cordial Spider 與 Snarky Spider 的駭客組織,他們如何透過一套精密的組合拳,在不留下太多紀錄的情況下,快速竊取 SaaS 雲端資料並進行勒索。
攻擊的起點:利用 Vishing 進行心理操縱
這類攻擊的第一步不是發送垃圾郵件,而是使用 Vishing,也就是 Voice Phishing(語音釣魚)。攻擊者會直接打電話給目標員工,偽裝成公司的 IT 部門或技術支援人員。對於 Junior 工程師來說,你要理解這是一種社交工程(Social Engineering),目的是在對方的心理建立信任感,讓受害者在不知不覺中降低警覺。
當受害者相信對方是 IT 人員後,攻擊者會引導他們前往一個精心偽造的登入頁面。這個頁面採用了 AiTM 技術,全稱是 Adversary-in-the-Middle(中間人攻擊)。這不是簡單的假網頁,而是一個代理伺服器,它會即時地將受害者的輸入轉發給真正的登入頁面,同時攔截回傳的驗證令牌(Session Token)。
繞過 MFA 與 SSO 的核心邏輯
很多人認為 MFA(多因素驗證,例如手機驗證碼)能擋住攻擊,但 AiTM 攻擊正好能解決這個問題。因為攻擊者攔截的是已經通過 MFA 驗證後的 Session Token,一旦拿到這個令牌,他們就直接擁有了受害者的登入狀態,完全不需要知道密碼或再次輸入驗證碼。
接著,攻擊者會利用 SSO(單一登入,Single Sign-On)的特性。SSO 是一種身分管理機制,讓使用者只需登入一次身分提供者 IdP(例如 Okta 或 Microsoft Entra ID),就能進入所有關聯的 SaaS 應用程式(如 Google Workspace、Salesforce、SharePoint)。對攻擊者而言,IdP 就是金鑰,只要攻破一個帳號,就能像拿著萬能鑰匙一樣,在整個 SaaS 生態系中橫向移動,而不需要逐一破解每個應用程式。
隱匿蹤跡與權限提升的實務操作
為了防止被發現,這些組織採取了幾項非常狡猾的手段。首先,他們會迅速在帳號中註冊一個新的受控設備,用以維持長期存取權,並同時刪除原有的合法設備。為了掩蓋這個動作,他們會設定電子郵件的自動篩選規則,將系統發出的設備註冊通知信直接刪除,讓管理員與使用者完全沒發現異常。
此外,他們運用了 LotL 技術,即 Living-off-the-Land(利用環境原生工具)。這意味著他們不下載可疑的惡意軟體,而是直接使用系統內建的指令或合法的雲端 API 來操作,這讓傳統的防毒軟體或端點偵測工具(EDR)很難察覺。為了繞過地理位置的 IP 封鎖,他們還會使用住宅代理伺服器(Residential Proxies),讓登入流量看起來像是來自一般的家庭網路,而非駭客機房。
最終目標:高速資料外洩與勒索
一旦進入環境,攻擊者會透過爬取內部員工目錄,找出具有高權限的帳號並再次嘗試社交工程,以提升權限。他們的目标非常明確,直接在 HubSpot、Salesforce 等平台搜尋高價值的商業報告或機密文件。
最令人擔心的部分在於速度。根據報告,部分組織在入侵後一小時內就能開始外洩資料。由於所有操作都發生在受信任的 SaaS 環境內部,且沒有傳統的惡意檔案落地,防禦方在監控面板上看到的可能只是正常的登入紀錄,導致偵測延遲,給了攻擊者充足的勒索空間。
總結與防禦思考
這次的攻擊案例提醒我們,身分驗證的安全性不能只依賴於 MFA。我們需要更關注身分提供者 IdP 的異常行為監控,例如短時間內設備的異常變更、不尋常的郵件篩選規則設定,以及跨應用程式的異常存取模式。在雲端優先的時代,身分(Identity)才是真正的安全邊界。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。