黑客欺骗Microsoft ADFS登录页面以窃取凭据

服务台网络钓鱼活动主要针对Microsoft Active Directory Federation Services（ADFS），使用欺骗性的登录页面来窃取凭据和绕过多因素身份验证（MFA）保护措施。据发现该攻击的安全公司称，此次攻击的目标主要是教育、医疗和政府机构，攻击目标至少有150个。

这些攻击旨在访问公司电子邮件帐户，以将电子邮件发送给组织内的其他受害者或进行经济攻击（例如商业电子邮件妥协（BEC）），在此付款转移到威胁者的帐户中。

欺骗Microsoft Active Directory联合服务

Microsoft Active Directory Federation Services（ADFS）是一个身份验证系统，允许用户登录一次并访问多个应用程序和服务，而无需重复输入其凭据。它通常在大型组织中用于在基于内部和云的应用程序中提供单登录（SSO）。

攻击者会向冒充其公司IT团队的目标发送电子邮件，要求他们登录以更新其安全设置或接受新策略。

攻击中使用的网络钓鱼电子邮件示例

点击“嵌入式”按钮会将受害者带到一个看起来与他们组织的真实ADFS登录页面一模一样的网络钓鱼网站。网络钓鱼页面要求受害人输入其用户名，密码和MFA代码，或引导他们批准推送通知。

欺骗的ADFS门户

网络钓鱼模板还包括基于组织配置的MFA设置来捕获验证目标帐户所需的特定第二因素的表单，针对多种常用MFA机制的异常观察到的模板，包括Microsoft Authenticator，Duo Security和SMS验证。

两个可用的MFA旁路屏

一旦受害者提供了所有详细信息，他们就会被重定向到合法的登录页面，以减少怀疑，并使其看起来好像这个过程已经成功完成。

同时，攻击者立即利用窃取的信息登录受害者的帐户，窃取任何有价值的数据，创建新的电子邮件过滤规则，并尝试横向网络钓鱼。

安全公司表示，攻击者在这次活动中使用私人互联网接入VPN来掩盖他们的位置，并分配一个更接近组织的IP地址。

即使这些网络钓鱼攻击并没有直接违反ADF，而是依靠社会工程来工作，但由于许多用户对登录工作流的固有信任，该策略仍然是具有潜在有效性的。

安全工作人员建议相关企业应迁移到现代和更安全的解决方案，如Microsoft Entra，并引入额外的电子邮件过滤器和异常活动检测机制，以尽早阻止网络钓鱼攻击。