摘要：科技媒体 bleepingcomputer 昨日（6 月 26 日）发布博文，报道称有网络钓鱼活动滥用微软 Microsoft 365 中的 Direct Send 功能，以逃避电子邮件安全检测并窃取凭证。

IT之家 6 月 27 日消息，科技媒体 bleepingcomputer 昨日（6 月 26 日）发布博文，报道称有网络钓鱼活动滥用微软 Microsoft 365 中的 Direct Send 功能，以逃避电子邮件安全检测并窃取凭证。

IT之家注：Direct Send 是微软 Microsoft 365 中的一项功能，无需身份验证，支持设备或应用程序向内部收件人发送邮件。该服务支持企业内部的本地设备、应用程序或云服务通过租户的智能主机发送电子邮件，主要是为打印机、扫描仪和其他需要代表公司发送消息的设备设计的。

微软在官方日志中，强调其安全性取决于 Microsoft 365 是否配置正确，以及智能主机是否得到了妥善锁定，只有高级用户使用此功能。

Varonis 的 Managed Data Detection and Response（MDDR）团队近期发现，有攻击者利用微软 Direct Send 功能，已攻击 70 个不同行业的组织，其中 95% 的受害者位于美国。

攻击者通过 PowerShell 使用目标公司的智能主机发送邮件，让攻击者可以从外部 IP 地址发送看似内部的邮件，这种攻击方法可以绕过 SPF、DKIM、DMARC 等过滤规则。

这次钓鱼活动伪装成语音邮件或传真通知，邮件主题为“Caller Left VM Message”。附件是标题为 'Fax-msg'、'Caller left VM Message'、'Play_VM-Now' 或 'Listen' 的 PDF 文件。

这些 PDF 文件不含链接到钓鱼页面的链接，而是指示目标使用智能手机相机扫描 QR 码以收听语音邮件，并且这些文档还带有公司标志，使其看起来更合法。

扫描 QR 码并打开链接会引导用户到一个显示假微软登录表单的钓鱼网站，用来窃取员工的凭证。

为了减轻这种威胁，Varonis 建议在 Exchange Admin Center 中启用“Reject Direct Send”设置（于 2025 年 4 月推出）。

Varonis 还建议实施严格的 DMARC 策略（p=reject），将未经验证的内部消息标记为审查或隔离，以及在 Exchange Online Protection 中执行 SPF 硬失败，启用反欺骗策略，并培训员工识别 QR 码钓鱼尝试。

来源：湖北台生活启示录