MS Graph 安全性 API V2

MDR在同一會話中確定了一個用戶，具有八個不同的IP地址，兩個不同的Chrome版本用戶代理字元串以及Windows NT和Macintosh作為用戶代理字元串中的操作系統。這種類型的動作通常是由中間(AiTM)平台中的對手(如Evilginx，Modlishka或Muraena)引起的，在這種情況下，攻擊者將捕獲用戶的憑據和令牌，然後從攻擊者使用令牌或憑據登錄到M365的新IP中重放。

經過徹底調查後，MDR發現同一客戶中的其他六位用戶受到了攻擊，包括具有以下有趣屬性的收件箱規則的多位用戶：

• MarkAsRead：此參數為true時，電子郵件將標記為已讀。敵人使用這種策略來協助隱藏妥協。
• Name：賦予收件箱規則的名稱。在這種情況下，敵人將名稱改為“s”。對手通常使用短名稱來減少對收件箱規則的關注。
• SubjectOrBodyContainsWords：對手可以使用該 SubjectOrBodyContainsWords 屬性過濾關鍵字的電子郵件。在這種情況下，敵人過濾關鍵字，然後移動匹配的電子郵件。
• DeleteMessage：當 DeleteMessage 為True時，電子郵件將被刪除，並且最終用戶不知道該電子郵件存在。

呲合所有這些屬性，我們可以看到，當用戶收到一封電子郵件，其中主題或正文包含"黑客攻擊"，"釣魚"，"惡意"，"可疑"，"欺詐"， "mfa"或"spoof"，電子郵件將標記為已讀，然後刪除。這就向最終用戶隱藏了他們可能受到威脅的事實。