1月25日,IT之家援引科技媒体neowin消息称,微软Defender安全研究人员近期发现一起恶意攻击事件。黑客利用一种名为“对手中间人攻击”(IT之家注:AiTM)的技术,成功窃取了多家能源公司员工的登录凭证。

报道指出,黑客首先会通过社会工程学等手段,寻找并控制一名员工的内部账户。他们利用这个“初始账户”作为跳板,获取目标公司内部其他邮箱的访问权限和登录凭据,甚至成功地绕过了多重身份验证的防护。
随后,黑客会操纵这个傀儡账户广撒网,向多名用户发送伪装成SharePoint文档共享链接的钓鱼邮件。一旦受害者点击链接,便会被重定向至一个伪造的登录页面,被要求输入用户名和密码等信息,从而导致其凭证和会话Cookie被窃取。
在成功入侵多个合法账户后,黑客还会设置邮箱规则,自动删除收到的钓鱼邮件,并将所有收件箱标记为“已读”,确保受害者这边完全察觉不到任何异常状况。
不仅如此,这些攻击者还会向受害者通讯录里的联系人发送多达600封钓鱼邮件,以期达到链式传播、扩大战果的目的。
更隐蔽的是,黑客会持续监控被入侵的邮箱,删除退订通知和“外出办公”自动回复邮件,以掩盖入侵痕迹。当收件人心生疑虑并询问情况时,攻击者甚至会冒充受害者本人进行回复,声称一切正常,随后再悄悄删除相关对话记录。
针对此事,微软在一份最新声明中作出回应,建议受影响的公司立即吊销所有会话Cookie、删除攻击者创建的邮箱规则,并检查近期是否有未经授权的多因素认证设置被更改。公司同时强调,仅重置密码无法从根本上解决此类安全问题。
