Architecture Shift
影响: Important
强度: High
置信: 95%
Google威胁情报揭示UNC6671以身份为中心的攻击与自动化数据窃取
内容摘要
Google威胁情报小组详细披露了UNC6671(BlackFile)组织针对企业云环境的攻击活动。该组织通过精心设计的语音钓鱼和实时中间人攻击绕过MFA,利用自动化脚本大规模窃取Microsoft 365和Okta环境中的数据,凸显了身份层成为新攻击面的严峻现实。
核心要点
UNC6671攻击链始于针对员工个人手机的语音钓鱼,伪装成IT支持,诱骗受害者访问仿冒的SSO门户。攻击者实时捕获凭证并拦截MFA验证码,随后注册受控设备以维持访问。
获得访问权限后,攻击者使用Python和PowerShell脚本,通过Microsoft Graph API或直接HTTP请求,以“FileAccessed”而非“FileDownloaded”的形式,从SharePoint和OneDrive中大规模、自动化地窃取数据。这种手法旨在规避基于传统下载事件的安全检测。
攻击者主要目标是Microsoft 365和Okta环境,并利用窃取的数据进行针对性勒索,包括向高管发送威胁语音邮件甚至使用“Swatting”等极端施压手段。
获得访问权限后,攻击者使用Python和PowerShell脚本,通过Microsoft Graph API或直接HTTP请求,以“FileAccessed”而非“FileDownloaded”的形式,从SharePoint和OneDrive中大规模、自动化地窃取数据。这种手法旨在规避基于传统下载事件的安全检测。
攻击者主要目标是Microsoft 365和Okta环境,并利用窃取的数据进行针对性勒索,包括向高管发送威胁语音邮件甚至使用“Swatting”等极端施压手段。
重要性说明
此情报揭示了攻击重心正从网络边界彻底转向身份控制平面。攻击者利用自动化工具绕过基于MFA的静态防御,迫使企业安全架构必须从检测“异常登录”升级到监控“合法身份下的异常数据访问行为”。
PRO 决策建议
**威胁升级型**
**厂商/Vendors**: 必须开发能够关联身份上下文、用户行为与数据访问模式(尤其是FileAccessed事件)的检测产品,而不仅仅是认证日志。不行动将导致其安全方案被绕过。
**企业/Enterprises**: 攻击面已扩展到身份验证后的数据层。需立即审查并强化对SaaS应用内数据访问行为的监控,特别是API和脚本活动,并优先部署防钓鱼MFA。
**投资者/Investors**: 关注安全预算从传统边界防护向身份与数据安全(IDSA、DSPM)以及用户实体行为分析(UEBA)领域的迁移。监测能有效检测自动化脚本数据窃取的技术提供商。
**厂商/Vendors**: 必须开发能够关联身份上下文、用户行为与数据访问模式(尤其是FileAccessed事件)的检测产品,而不仅仅是认证日志。不行动将导致其安全方案被绕过。
**企业/Enterprises**: 攻击面已扩展到身份验证后的数据层。需立即审查并强化对SaaS应用内数据访问行为的监控,特别是API和脚本活动,并优先部署防钓鱼MFA。
**投资者/Investors**: 关注安全预算从传统边界防护向身份与数据安全(IDSA、DSPM)以及用户实体行为分析(UEBA)领域的迁移。监测能有效检测自动化脚本数据窃取的技术提供商。
💬 评论 (0)