W3LL 威胁组织：六年来的微软 365 企业邮箱攻击

重点摘要

W3LL威胁组织在过去六年中对微软 365 企业邮箱账户的入侵起了重大作用。W3LL Store是一个隐藏的地下市场，至少有500名网络犯罪分子可以在这里购买定制的钓鱼工具。W3LL的钓鱼工具在2022年10月至2023年7月期间针对美国、澳大利亚和欧洲的超56000个微软 365 企业账户。收入估计近50万美元，显示出这一地下市场的庞大。AiTM中间人代理攻击被认为是未来钓鱼攻击的主要趋势。

W3LL威胁组织在最近的研究中被指出在过去六年中极大地影响了微软 365 的企业邮箱账户安全。根据GroupIB的最新报告，这个名为W3LL Store的地下市场为至少500名网络犯罪分子提供了一个封闭的社区，他们可以购买名为W3LL Panel的定制钓鱼工具。这个工具不仅能够绕过多因素认证MFA，还包含16种其他专用工具，用于实施商务电子邮件破坏BEC攻击。

根据GroupIB的数据显示，从2022年10月到2023年7月，W3LL的钓鱼工具已经被用来攻击超过56000个企业的微软 365账户。在过去十个月中，W3LL Store的估计收入达到了50万美元，显示出其庞大的市场潜力。

W3LL 的网络犯罪生涯可以追溯到2017年，当时他们以W3LL SMTP Sender工具进入市场，用于批量发送垃圾邮件。W3LL Store则是在2018年正式启动。

在周三的博客中，GroupIB的研究员详细说明了这一操作的组织程度。这个组织运作得像一家主流企业：W3LL Store通过票务系统和实时网页聊天提供“客户支持”。缺乏技能的网络犯罪分子可以像普通客户一样观看视频教程，学习如何使用这些工具。而且，W3LL Store还设有自己的推荐奖励计划，为推荐人提供10的佣金，并且第三方销售者在W3LL Store的销售利润中可获得7030的分成。

W3LL钓鱼工具及其商业模式的细节，预示着即将到来的“中间人代理”AiTM攻击的风险，Hoxhunt的联合创始人兼CTO Pyry Avist解释道。Avist表示，这些AiTM攻击被认为是钓鱼攻击的未来，因为它们极具有效性，且难以被识别和检测。更令人担忧的是，它们变得越来越容易使用。

自动化与人工仍在攻击目标之中

“AiTMs的设计是为了绕过MFA防护，若W3LL和EvilProxy等代理攻击成为常态，将显著降低MFA单独防护的有效性。”Avist说道。“代理攻击通过利用代理服务器截获和修改用户和合法网站之间的流量，从而使攻击本身看起来和感觉上都像是一种完全真实的体验。”

一元机场节点

Avist补充道，虽然这些代理攻击并非完全无法识别和防范，但像W3LL和EvilProxy这样的代理攻击需要一支经过良好训练的团队来充当警示灯。建议企业摒弃旧式安全分析工具，采纳以动态安全行为变化为重点的计划，加快钓鱼检测和响应的速度。

“随着这些针对性代理攻击被设计为绕过电子邮件过滤和MFA，最终用户在网络安全中需要承担更多责任，成为网络监控的公民。”Avist表示。“MFA仍然非常有效，但随着威胁行为者的技术进步，组织必须主动应对。”

Panther Labs的现场首席信息安全官Ken Westin指出，GroupIB的研究表明，即使在自动化、人工智能和技术高度发达的当下，人与人之间的信任仍然是攻击者的主要目标。Westin强调，BEC的本质在于欺骗：即说服个人相信来自供应商、合作伙伴或客户的金钱请求是真实的。

“当网络犯罪分子通过特定的方案获利时，就会形成抢金