本報告描述了一起網路釣魚活動,攻擊者利用 Google Cloud Application Integration 漏洞,冒充 Google 官方郵件,散佈看似來自 Google 基礎架構的惡意電子郵件。這些郵件模仿企業日常通知,例如語音郵件提醒和文件存取/權限請求,使收件者誤以為是正常可信的郵件。
在此次事件中,攻擊者在過去 14 天內發送了 9394 封釣魚郵件,目標客戶約為 3200 人。所有郵件均來自合法的 Google 位址noreply-application-integration@google.com ,這大大提高了郵件的可信度,也增加了郵件到達最終用戶收件匣的可能性。
攻擊方法
根據觀察到的電子郵件特徵和寄件者基礎架構,這次攻擊似乎利用了谷歌雲端的應用程式整合「發送電子郵件」任務,該功能原本用於合法的自動化工作流程和系統通知。此功能允許已配置的整合向任意收件者發送電子郵件,這可以解釋攻擊者如何在不損害谷歌自身安全的情況下,直接從谷歌擁有的網域分發郵件。
這種行為表明有人濫用合法的雲端自動化功能來冒充真正的 Google 通知,同時繞過傳統的基於寄件者信譽和網域的偵測控制。
為了進一步增強信任,這些郵件嚴格遵循Google通知的風格和結構,包括熟悉的格式和語言。誘餌通常會提及語音郵件,或聲稱收件人已被授予存取共享文件或文件(例如「Q4」文件)的權限,從而誘導收件人點擊嵌入的連結並立即採取行動。
連結重新導向技術(視覺化流程):
如圖所示,此攻擊依賴多階段重定向流程,旨在降低用戶懷疑並延遲檢測:
用戶點擊託管在storage.cloud.google.com上的按鈕或鏈接,這是一個受信任的 Google Cloud 服務。在第一步使用合法的雲端託管 URL 有助於建立信任,並降低連結被封鎖或質疑的可能性。
該連結會將使用者重新導向至googleusercontent.com提供的內容,其中會顯示一個虛假的驗證碼或基於映像的驗證。此步驟旨在阻止自動掃描器和安全工具,同時允許真實使用者繼續操作。
用戶通過驗證階段後,會被重新導向到一個託管在非微軟網域上的偽造微軟登入頁面。攻擊者會捕獲使用者在此階段輸入的任何憑證,從而完成釣魚攻擊。
這種分層重定向方法結合了可信賴的雲端基礎架構、使用者互動檢查和品牌模仿,以最大限度地提高成功率,同時最大限度地降低早期檢測的風險。
我們捕獲到的一些真實釣魚郵件範例:
受影響族群(過去 14 天):
分析顯示,此次行銷活動主要針對製造業/工業(19.6%)、科技/SaaS(18.9%)和金融/銀行/保險(14.8%)產業,其次是專業服務/顧問(10.7%)和零售/消費品(9.1%)產業。媒體/廣告(7.4%)、教育/研究(6.2%)、醫療保健/生命科學(5.1%)、能源/公用事業(3.2%)、政府/公共部門(2.5%)、旅遊/酒店(1.9%)和運輸/物流(0.9%)等行業也參與其中,其他/未知行業佔 1.7%。
這些行業通常依賴自動通知、共享文件和基於權限的工作流程,因此Google品牌的提醒尤其具有說服力。
受影響的組織主要位於美國(48.6%),其次是亞太地區(20.7%)和歐洲(19.8%) 。加拿大(4.1%)、拉丁美洲(3.0%)、中東(2.2%)和非洲(0.9%)也受到了一定程度的影響,另有0.7%的案例原因不明或未分類。
在拉丁美洲,業務活動主要集中在巴西(41%)和墨西哥(26%),其次是阿根廷(13%)、哥倫比亞(12%)和智利(5%),其他國家的份額較小。
這次攻擊活動凸顯了攻擊者如何濫用合法的雲端自動化和工作流程功能,在無需傳統欺騙手段的情況下大規模散佈網路釣魚資訊。它再次強調了持續提高安全意識的必要性,尤其是在電子郵件包含可點擊連結的情況下,即使寄件者、網域和基礎設施看起來完全合法。
谷歌發表了以下聲明:
「我們已攔截多起利用 Google Cloud Application Integration 中的電子郵件通知功能進行的網路釣魚活動。值得注意的是,這些活動源於對工作流程自動化工具的濫用,而不是對 Google 基礎設施的入侵。雖然我們已採取保護措施來抵禦此類攻擊,但我們仍建議用戶保持警惕,因為惡意行為者試圖冒充品牌。
文章來源/Check Point Blog Check Point Blog
返回