网络钓鱼活动利用独特UUID绕过安全电子邮件网关

网络钓鱼活动利用独特UUID绕过安全电子邮件网关

2025年2月初发现的新型复杂网络钓鱼攻击通过随机域名选择、动态UUID生成和浏览器会话操纵的巧妙组合，成功绕过安全电子邮件网关（SEGs）并规避边界防御。

该攻击利用嵌入恶意附件和伪造云协作平台的高度专业化JavaScript，使传统安全工具极难检测和阻止。

Cofense Intelligence已将此高级威胁识别为持续活动的一部分，代表了凭证窃取策略的重大演变，需要全球安全专业人员和组织立即关注。

双重UUID欺骗策略

此攻击的核心是一个不寻常的双重UUID方法，展现了显著的复杂性。

分析脚本可见，它首先从托管流行Web库的合法来源（cdnjs.cloudflare.com）加载jQuery，这是一个在后台悄悄操作页面的常见Web工具。

脚本生成两个不同的标识符：硬编码的活动UUID（6fafd0343-d771-4987-a760-25e5b31b44f）用于跟踪整个活动，以及动态生成的会话UUID用于监控个体受害者。

这种双重跟踪机制模仿合法的应用程序编程接口（API），使威胁行为者能够将泄露的凭证与特定受害者关联，同时维护活动级别分析。

这种方法在提供细粒度受害者跟踪同时保持操作安全性方面前所未有，表明威胁行为者拥有先进技术能力和充足资源。

硬编码UUID可能用作活动或目标组标记，表明此脚本可能是为在不同欺骗品牌的多个网络钓鱼活动中部署而设计的可重用软件包的一部分。

这种模块化方法使攻击者能够最大化开发投资回报，同时通过最少的代码修改适应不同的组织目标。

服务器驱动的动态欺骗

此攻击最具欺骗性的方面涉及动态页面替换——脚本从根本上重写整个网页，使用服务器提供的内容，而不改变浏览器地址栏中的URL。

在成功发送包含受害者电子邮件地址和会话UUID的HTTPS POST请求后，攻击者的服务器会响应一个专门为受害者组织定制的登录表单。

此技术符合MITRE ATT&CK框架T1185（浏览器会话劫持），在维持受害者对钓鱼页面合法性的信心的同时，延长了攻击的有效性。

攻击的传播载体包括基于HTML的电子邮件附件和冒充受信任云协作平台的欺骗链接，包括Microsoft OneDrive、SharePoint Online、DocuSign、Google Docs和Adobe Sign。

这种多载体方法确保了广泛的活动覆盖范围，同时利用品牌认知最大化受害者参与度和凭证泄露率。

组织必须立即审查其电子邮件安全控制措施，并实施超越传统网关过滤的额外验证机制，以防御这种不断演变的威胁。