网络钓鱼新手法：滥用微软 Direct Send 功能，伪装内部邮件分发

admin

<p data-vmark="1aa0">IT之家 6 月 27 日消息，科技媒体 bleepingcomputer 昨日（6 月 26 日）发布博文，<strong>报道称有网络钓鱼活动滥用微软 Microsoft 365 中的 Direct Send 功能，以逃避电子邮件安全检测并窃取凭证。</strong></p><p data-vmark="753b">IT之家注：Direct Send 是微软 Microsoft 365 中的一项功能，无需身份验证，支持设备或应用程序向内部收件人发送邮件。该服务支持企业内部的本地设备、应用程序或云服务通过租户的智能主机发送电子邮件，主要是为打印机、扫描仪和其他需要代表公司发送消息的设备设计的。</p><p data-vmark="ebd1">微软在官方日志中，强调其安全性取决于 Microsoft 365 是否配置正确，以及智能主机是否得到了妥善锁定，只有高级用户使用此功能。</p><p data-vmark="9eac">Varonis 的 Managed Data Detection and Response（MDDR）团队近期发现，有攻击者利用微软 Direct Send 功能，已攻击 70 个不同行业的组织，其中 95% 的受害者位于美国。</p><p data-vmark="f3ad">攻击者通过 PowerShell 使用目标公司的智能主机发送邮件，让攻击者可以从外部 IP 地址发送看似内部的邮件，这种攻击方法可以绕过 SPF、DKIM、DMARC 等过滤规则。</p><p data-vmark="5959">这次钓鱼活动伪装成语音邮件或传真通知，邮件主题为“Caller Left VM Message”。附件是标题为 'Fax-msg'、'Caller left VM Message'、'Play_VM-Now' 或 'Listen' 的 PDF 文件。</p><p style="text-align: center;" data-vmark="33be"><img src="https://img.ithome.com/newsuploadfiles/2025/6/e74a079f-d04d-4edb-80af-9e3bb9175b8e.jpg?x-bce-process=image/format,f_auto" w="1440" h="924" data-weibo="0" data-vmark="5e96" class="no-alt-img"></p><p data-vmark="c9a7">这些 PDF 文件不含链接到钓鱼页面的链接，而是指示目标使用智能手机相机扫描 QR 码以收听语音邮件，并且这些文档还带有公司标志，使其看起来更合法。</p><p style="text-align: center;" data-vmark="f7eb"><img src="https://img.ithome.com/newsuploadfiles/2025/6/71593f88-d3cf-482f-8a24-6493e2a13b74.jpg?x-bce-process=image/format,f_auto" w="880" h="1002" data-weibo="1" data-vmark="0a9f" class="no-alt-img"></p><p data-vmark="aab2">扫描 QR 码并打开链接会引导用户到一个显示假微软登录表单的钓鱼网站，用来窃取员工的凭证。</p><p data-vmark="d9a5">为了减轻这种威胁，Varonis 建议在 Exchange Admin Center 中启用“Reject Direct Send”设置（于 2025 年 4 月推出）。</p><p data-vmark="a9c5">Varonis 还建议实施严格的 DMARC 策略（p=reject），将未经验证的内部消息标记为审查或隔离，以及在 Exchange Online Protection 中执行 SPF 硬失败，启用反欺骗策略，并培训员工识别 QR 码钓鱼尝试。</p>