1月25日，IT之家援引科技媒体neowin消息称，微软Defender安全研究人员近期发现一起恶意攻击事件。黑客利用一种名为“对手中间人攻击”（IT之家注：AiTM）的技术，成功窃取了多家能源公司员工的登录凭证。

报道指出，黑客首先会通过社会工程学等手段，寻找并控制一名员工的内部账户。他们利用这个“初始账户”作为跳板，获取目标公司内部其他邮箱的访问权限和登录凭据，甚至成功地绕过了多重身份验证的防护。

随后，黑客会操纵这个傀儡账户广撒网，向多名用户发送伪装成SharePoint文档共享链接的钓鱼邮件。一旦受害者点击链接，便会被重定向至一个伪造的登录页面，被要求输入用户名和密码等信息，从而导致其凭证和会话Cookie被窃取。

在成功入侵多个合法账户后，黑客还会设置邮箱规则，自动删除收到的钓鱼邮件，并将所有收件箱标记为“已读”，确保受害者这边完全察觉不到任何异常状况。

不仅如此，这些攻击者还会向受害者通讯录里的联系人发送多达600封钓鱼邮件，以期达到链式传播、扩大战果的目的。

更隐蔽的是，黑客会持续监控被入侵的邮箱，删除退订通知和“外出办公”自动回复邮件，以掩盖入侵痕迹。当收件人心生疑虑并询问情况时，攻击者甚至会冒充受害者本人进行回复，声称一切正常，随后再悄悄删除相关对话记录。

针对此事，微软在一份最新声明中作出回应，建议受影响的公司立即吊销所有会话Cookie、删除攻击者创建的邮箱规则，并检查近期是否有未经授权的多因素认证设置被更改。公司同时强调，仅重置密码无法从根本上解决此类安全问题。