M365的Direct Send功能遭到濫用，駭客藉此冒充內部使用者從事網釣

為了避免釣魚郵件遭到攔截，駭客設法濫用合法工具來進行掩護，企圖躲過資安系統的偵測，最近有一波攻擊行動引起研究人員的注意，因為他們使用了鮮為人知的功能來達到目的。

最近一起鎖定超過70個企業組織的網釣攻擊相當特別，駭客運用Microsoft 365當中名為Direct Send的功能，這是提供企業內部設備（如印表機）發送電子郵件的功能，過程中不需通過身分驗證的機制。而在這波攻擊當中，駭客藉此冒充內部的使用者，而能在無須取得目標組織外流帳號的情況下迴避偵測。駭客約從今年5月開始活動，主要目標是美國企業組織，但也有其他國家傳出相關事故。

針對駭客試圖接觸受害組織的過程，他們大部分會利用Direct Send對目標鎖定發送釣魚訊息。揭露此事的資安業者Varonis指出，攻擊者主要使用PowerShell下達相關命令，透過Smart Host網域寄信，而這是識別此種手法的其中一項重要特徵。

由於這種濫用Direct Send的手法攻擊者無須通過身分驗證，只需知道目標組織的網域及有效的收信人電子郵件信箱，加上Smart Host格式固定而容易猜出，使得攻擊者有機可乘，藉此繞過SPF、DKIM、DMARC等驗證機制。

在其中一起事故裡，受害企業接收到不尋常的警示訊息，烏克蘭的IP位址觸發了異常警報，但IT人員循線查詢是否有惡意登入的跡象，卻完全沒有相關的事件記錄，僅有寄送電子郵件的行為，更怪異的是，使用者竟是透過PowerShell寄信給自己。

Varonis介入進行鑑識分析，發現攻擊者寄送偽造的語音留言通知，並挾帶PDF附件，此PDF檔案內含QR Code，一旦收信人依照指示掃描，就會被帶往專門竊取M365帳號的釣魚網站。

對於駭客濫用Direct Send機制的情況，Varonis也提供了預防措施，供企業的IT人員使用，這些包括：從Exchange管理中心啟用Reject Direct Send政策、導入更嚴格的DMARC政策，以及將未經身分驗證的內部郵件歸到隔離區等。