微软已经披露了大规模，多阶段网络钓鱼活动的详细信息，该活动使用被盗的凭据在受害者的网络上注册设备，以进一步传播垃圾邮件并扩大感染池。

这家科技巨头表示，这些攻击是通过使用多因素身份验证（MFA）未受保护的帐户表现出来的，从而使对手有可能利用目标的自带设备（BYOD）策略，并使用窃取的凭据引入自己的流氓设备。

袭击分两个阶段进行。”第一个活动阶段涉及窃取主要位于澳大利亚，新加坡，印度尼西亚和泰国的目标组织的凭据，”Microsoft 365 Defender Threat Intelligence Team在本周发布的一份技术报告中表示。

“然后在第二阶段利用被盗的凭据，攻击者使用受损的帐户通过横向网络钓鱼扩大他们在组织内的立足点，并通过出站垃圾邮件扩展到网络之外。

该活动开始时，用户收到包含链接的DocuSign品牌网络钓鱼诱饵，该诱饵在单击后将收件人重定向到伪装成Office 365登录页面以窃取凭据的流氓网站。

凭据盗窃不仅导致不同公司的100多个邮箱受损，而且还使攻击者能够实施收件箱规则来阻止检测。随后是第二波攻击，滥用缺乏MFA保护将非托管Windows设备注册到公司的Azure ActiveDirectory（AD）实例并传播恶意消息。

通过将攻击者控制的设备连接到网络，这种新技术使得扩大攻击者的立足点，秘密地扩散攻击并在整个目标网络中横向移动变得可行。

“为了发起第二波浪潮，攻击者利用目标用户的受感染邮箱向受害者组织内外的8，500多名用户发送恶意消息，”微软表示。”这些电子邮件使用 SharePoint 共享邀请诱饵作为邮件正文，试图说服收件人共享的’付款.pdf’文件是合法的。

这一发展是因为基于电子邮件的社交工程攻击仍然是攻击企业在受感染的系统上获得初始进入和丢弃恶意软件的最主要手段。

本月早些时候，Netskope Threat Labs披露了一项归因于OceanLotus集团的恶意活动，该活动通过使用非标准文件类型（如Web存档文件（.MHT） 附件，用于部署窃取信息的恶意软件。

除了启用 MFA 之外，实施良好的凭据卫生和网络分段等最佳实践还可以”增加试图通过网络传播的攻击者的’成本'”。

“这些最佳实践可能会限制攻击者在初始入侵后横向移动和破坏资产的能力，并且应该辅以高级安全解决方案，以提供跨域的可见性并跨保护组件协调威胁数据，”微软补充说。