加拿大工资单钓鱼活动利用 Office 365 搜索投毒

执行摘要

根据 Microsoft 研究人员的报告，一个以经济利益为目的的威胁行为者 Storm-2755 正在利用被污染的搜索引擎结果和**恶意广告（malvertising）**针对加拿大雇员发起攻击，最终目的是将工资存款重定向至攻击者控制的账户。

技术分析

该活动通过操纵搜索引擎优化（SEO），推广仿冒合法 Office 365 身份验证门户的恶意域名，从而利用用户对 Microsoft 服务的信任。这些域名托管了凭证收集页面，伪装成登录界面，诱使用户输入他们的账户凭据。获取凭证后，攻击者使用这些信息对内部人力资源系统进行中间人（AiTM）攻击，篡改薪资配置。

初始入侵通常发生在用户搜索“Office 365 login”或类似关键词时，返回经过污染的自然搜索结果或付费广告，引导受害者访问由攻击者控制的网站，例如 secure-login-microsoft.online。这些网站通过基于 JavaScript 的键盘记录器或表单捕获机制收集用户名、密码，有时还包括多因素认证令牌。

入侵后的活动中，攻击者会访问电子邮件账户以识别与薪资相关的通信内容，并进一步对负责处理直接存款变更的人力资源员工实施社会工程学攻击。在某些情况下，攻击者会冒充高管，紧急要求修改员工银行账户信息。

入侵指标

• 域名：secure-login-microsoft[.]online
• 域名：office365-secure-auth[.]com
• URL：http://secure-login-microsoft[.]online/login.php

此外还观察到其他可疑域名，但由于持续的下线行动尚未确认。目前除上述外未发现其他明确指标。

战术、技术与程序

• 利用 SEO 污染 和 恶意广告 实现初始访问，引导用户访问仿冒 Office 365 登录页的钓鱼站点（T1190）。
• 使用 伪造身份验证表单 进行凭证窃取，并可能采用前端输入捕获手段（T1056.002）。
• 在企业邮箱环境中开展侦察，定位人力资源部门及薪资流程。
• 使用社会工程战术，包括伪造高管邮件请求更新银行信息（T1566）。

该组织展现出中等程度的操作安全意识，频繁轮换域名并在多个云服务商上部署基础设施。

威胁行为者背景

Microsoft 将此次活动归因于其标记为 Storm-2755 的集群，该集群以经济动机为主，专注于薪资欺诈。自 2025 年初以来一直活跃，主要目标是位于加拿大的组织，但英语地区也可能受到影响。

目前没有证据表明其与国家级支持有关；相反，其行为更符合网络犯罪即服务模型或独立运作的大规模财务驱动型攻击者。

缓解措施与建议

组织应实施强有力的反钓鱼培训计划，强调在输入敏感凭证前验证 URL 的重要性。强制启用 多因素认证（MFA） 可缓解部分风险，尽管高级钓鱼工具包正越来越多地尝试在身份验证后捕获会话 Cookie。

对于薪资功能的管理权限应实行双重审批机制，涉及 IT 和财务团队共同参与。定期审计与薪资系统关联的银行记录有助于尽早发现未经授权的更改。

在网络边界阻止已知恶意域名并部署浏览器隔离技术可降低暴露风险。考虑通过证书透明度日志和 WHOIS 分析自动监控潜在的仿冒域名。