作者:Max Gannon,Cofense 网络钓鱼防御中心
安全企业邮箱网关 (SEG) 等企业邮箱安全工具通常会对企业邮箱中嵌入的 URL 进行编码。这允许安全设备在收件人访问网站之前分析 URL。通常,当 SEG 检测到已 SEG 编码的企业邮箱中的 URL 时,它们不会扫描它们,或者扫描仅显示安全工具的扫描页面,而不显示实际的目的地。因此,当企业邮箱已包含 SEG 编码的 URL 时,收件人的 SEG 通常会在没有正确检查嵌入的 URL 的情况下让企业邮箱通过。不良行为者滥用这种做法已经有一段时间了,但今年第二季度,尤其是 5 月份,不良行为者在将恶意 URL 发送给受害者之前利用 SEG 编码的情况有所增加。
自然界中使用的工具
2024 年第二季度,不良行为者最常用的四种对 URL 进行编码和绕过 SEG 的工具是 VIPRE Email Security、BitDefender LinkScan、Hornet Security 高级威胁防护 URL 重写和 Barracuda Email Gateway Defense Link Protection。在受 Proofpoint 或 Microsoft ATP 等多种工具保护的环境中,已经观察到使用这些工具规避 SEG 的企业邮箱活动。
VIPRE 企业邮箱安全
2024 年 6 月上旬,观察到由 VIPRE Email Security 编码的 URL,特别是由 url(.)emailprotection(.)link 编码的 URL,有 12 个独特的主题。这些企业邮箱的主题类似于以下子集:
| 常见企业邮箱主题 |
| 审查并签署:Partnership_investment_proposal.DOCX |
| 新合同和终止协议.pdf |
| 您有一个新的加密虚拟机 |
| 完整:标准增加政策和终止协议.pdf。 |
| 2024年薪资薪酬报告 |
图1:带有嵌入 URL 的企业邮箱,由 VIPRE Email Security 的 url(.)emailprotection(.)link 编码。
使用其他 VIPRE Email Security 编码 URL 编码的 URL:url2(.)mailanyone(.)net、url10(.)mailanyone(.)net、url12(.)mailanyone(.)net 等。主要在 2024 年 5 月对 200 多个独特受试者进行观察。这些企业邮箱的主题类似于以下子集:
| 常见企业邮箱主题 |
| 7167- |
| 单点登录提示 |
| 访问通知 #27 – 2024 年 5 月 15 日 07:49:27 |
| 8533- |
图 2:包含由 VIPRE Email Security 的 url10(.)mailanyone(.)net 编码的嵌入 URL 的企业邮箱。
BitDefender LinkScan
由 BitDefender LinkScan 编码的 URL,特别是由 lsems(.)gravityzone(.)bitdefender(.)com 编码的 URL,在 2024 年 6 月上旬最常观察到,有 8 个独特主题。这些企业邮箱的主题类似于以下子集:
| 常见企业邮箱主题 |
| 需要采取紧急行动:安全企业邮箱警报! |
| 糟糕,我们向您隐藏了一些消息,6 月 9 日的事件 – #UMMQEGA7 |
| 时间表更新通知:查看时间表更改 |
| 报票 0168724 |
图 3:嵌入由 BitDefender LinkScan 的 lsems(.)gravityzone(.)bitdefender(.)com 编码的 URL 的企业邮箱。
使用 BitDefender LinkScan 的其他编码 URL linkscan(.)io 编码的 URL 仅在 2024 年 6 月的两次活动中出现。这些企业邮箱的主题类似于以下子集:
| 常见企业邮箱主题 |
| 需要立即采取行动:邮件服务器错误 – 更新访问权限,2024 年 6 月 11 日星期二 – TicketID:LCCP-YLSNYA-FLLWK |
| 时间表 |
图 4:带有由 BitDefender LinkScan 的 linkscan(.)io 编码的嵌入 URL 的企业邮箱。
Hornet Security 高级威胁防护 URL 重写
主要在 2024 年 5 月下旬和 6 月上旬观察到使用 Hornet Security 高级威胁防护 URL 重写 (seclinks(.)cloud-security(.)net) 编码的 URL,有 8 个独特主题。这些企业邮箱的主题类似于以下子集:
| 常见企业邮箱主题 |
| PVX #5LOA:已完成:请签名并返回#Ref-D786DYY37B(2) |
| 糟糕,我们向您隐藏了一些消息,6 月 9 日的事件 – #UMMQEGA7 |
| 时间表更新通知:查看时间表更改 |
| 时间表提交:请确认您的新时间表 |
图 5:嵌入 URL 的企业邮箱,由 Hornet Security 高级威胁防护 URL 重写的 seclinks(.)cloud-security(.)net 编码。
使用 Hornet Security 高级威胁防护 URL 重写的其他编码 URL atpscan(.)global(.)hornetsecurity(.)com 编码的 URL 仅在 2024 年 5 月下旬和 6 月上旬的活动中观察到,有 16 个独特主题。这些企业邮箱的主题类似于以下子集:
| 常见企业邮箱主题 |
| 仅批准用于 83574 – |
| #0IU6IB 2024 年 6 月 10 日星期一回顾 |
| YV8 72Q:签名并返回#Ref-JB0UOYAY19P |
| 4700-27Z 请填写:签名并返回#Ref-04020427Z |
| 需要采取的行动:我们保留了您的 9 条消息。 |
图 6:包含由 Hornet Security 高级威胁防护 URL 重写的 atpscan(.)global(.)hornetsecurity(.)com 编码的嵌入 URL 的企业邮箱。
梭子鱼企业邮箱网关防御链路保护
在 2024 年第二季度,观察到由 Barracuda Email Gateway Defense Link Protection 编码的 URL,特别是由 linkprotect(.)cudasvc(.)com 编码的 URL,有 19 个独特的主题。这些企业邮箱与以下子组具有相似的主题:
| 常见企业邮箱主题 |
| #23321041 |
| 您的 DocXXX 正在等待您的批准参考:#ezgyo4r |
| 全面的员工健康计划 |
| 您的 DocXXX 正在等待您的批准参考:#hlufnew |
图 7:带有由梭子鱼企业邮箱网关防御链接保护 linkprotect(.)cudasvc(.)com 编码的嵌入 URL 的企业邮箱。
使用 SEG 编码 URL 观察到的活动类型
在第二季度,许多营销活动类型都使用了 SEG 编码的 URL。一些最常见的主题包括需要签名的内容和未发送的语音或企业邮箱通知。正如上面的数字所示,DocuSign 和 Microsoft 经常被篡改。
文档签名
大量需要签名的内容驱动活动已经取代了 DocuSign。尽管存在这种欺骗行为,但使用实际 DocuSign 链接的活动相对较少,这在欺骗 DocuSign 的凭据网络钓鱼企业邮箱中并不罕见。这可能是因为 DocuSign 链接通常用于绕过 SEG,并且如果威胁行为者已经通过对恶意 URL 进行编码来绕过 SEG,则他们不需要可以删除的额外步骤。
微软
2024 年第二季度,继 DocuSign 之后,Microsoft 成为使用 SEG 编码 URL 的企业邮箱活动中最常被冒充的品牌。尽管并非所有 Microsoft 欺骗行为都有意义(例如图 3 中的 Microsoft 欺骗时间表报告),但它们仍然很常见。这是不良行为者的常见策略,他们试图滥用受害者对知名品牌的固有信任。
