【安全资讯】黑客滥用微软Azure Monitor警报发起回拨钓鱼攻击

概要：

在日益复杂的网络威胁环境中，攻击者正不断寻找新的合法服务作为攻击跳板。近期，安全研究人员发现，黑客组织开始滥用微软Azure Monitor的警报功能，向用户发送伪装成微软安全团队通知的回拨钓鱼邮件，这种利用官方平台发起的攻击更具欺骗性，对全球企业用户构成了严重威胁。

主要内容：

攻击者通过创建Azure Monitor警报规则，在描述字段中植入精心编造的钓鱼信息。这些信息通常伪装成“微软公司账单与账户安全通知”，谎称检测到未经授权的交易（例如一笔389.90美元的Windows Defender费用），并附上所谓的24/7安全支持电话号码，诱导用户回拨。

与传统的钓鱼邮件不同，这些邮件并非通过伪造发件人地址发送，而是直接利用了微软官方的azure-noreply@microsoft.com邮箱地址，经由Azure Monitor平台合法发出。因此，邮件能完美通过SPF、DKIM和DMARC等严格的反垃圾邮件认证检查，使其看起来完全可信，极易绕过企业的邮件安全网关和用户的警惕。

攻击者通过配置警报，将邮件发送到一个受其控制的邮件列表，再由该列表转发给最终目标受害者。这一过程保留了原始的微软邮件头和安全认证结果，进一步增强了邮件的可信度。攻击者主要创建与发票、付款相关的警报规则，以模仿自动化的账单通知，营造紧迫感。

此类回拨钓鱼攻击的最终目的通常是窃取用户凭证、进行支付欺诈，或诱骗用户安装远程访问软件，从而为后续入侵企业网络、部署勒索软件或窃取数据打开初始访问通道。企业用户应对任何包含紧急电话号码、要求立即处理账单问题的微软或Azure警报保持高度怀疑。