科技媒体 bleepingcomputer 昨日发布博文，注：Direct Send 是微软 Microsoft 365 中的一项功能，无需身份验证，支持设备或应用程序向内部收件人发送邮件。该服务支持企业内部的本地设备、应用程序或云服务通过租户的智能主机发送电子邮件，主要是为打印机、扫描仪和其他需要代表公司发送消息的设备设计的。

　　微软在官方日志中，强调其安全性取决于 Microsoft 365 是否配置正确，以及智能主机是否得到了妥善锁定，只有高级用户使用此功能。

　　Varonis 的 Managed Data Detection and Response团队近期发现，有攻击者利用微软 Direct Send 功能，已攻击 70 个不同行业的组织，其中 95% 的受害者位于美国。

　　攻击者通过 PowerShell 使用目标公司的智能主机发送邮件，让攻击者可以从外部 IP 地址发送看似内部的邮件，这种攻击方法可以绕过 SPF、DKIM、DMARC 等过滤规则。

　　这次钓鱼活动伪装成语音邮件或传真通知，邮件主题为“Caller Left VM Message”。附件是标题为 Fax-msg、Caller left VM Message、Play_VM-Now 或 Listen 的 PDF 文件。

　　这些 PDF 文件不含链接到钓鱼页面的链接，而是指示目标使用智能手机相机扫描 QR 码以收听语音邮件，并且这些文档还带有公司标志，使其看起来更合法。

　　扫描 QR 码并打开链接会引导用户到一个显示假微软登录表单的钓鱼网站，用来窃取员工的凭证。

　　为了减轻这种威胁，Varonis 建议在 Exchange Admin Center 中启用“Reject Direct Send”设置。

　　Varonis 还建议实施严格的 DMARC 策略，将未经验证的内部消息标记为审查或隔离，以及在 Exchange Online Protection 中执行 SPF 硬失败，启用反欺骗策略，并培训员工识别 QR 码钓鱼尝试。