IT之家 1 月 25 日消息，據(jù)科技媒體 neowin 前天報(bào)道，微軟 Defender 安全研究人員最近發(fā)現(xiàn)一起惡意活動(dòng)，黑客使用對(duì)手中間人攻擊（IT之家注：AiTM）技術(shù)，成功竊取多家能源公司員工的登錄憑據(jù)。

據(jù)報(bào)道，黑客首先會(huì)使用社會(huì)工程學(xué)等手段尋找一個(gè)員工的肉雞賬戶，利用這一“零號(hào)賬戶”獲取目標(biāo)公司內(nèi)部其他郵箱的訪問權(quán)限和登錄憑證，并成功繞過多因素身份驗(yàn)證。

隨后，黑客會(huì)使用這一傀儡賬戶廣撒網(wǎng)，向多名用戶發(fā)送偽裝成 SharePoint 共享文檔的釣魚郵件。一旦受害者點(diǎn)開鏈接就會(huì)被重定向至偽造網(wǎng)站，要求用戶輸入用戶名、密碼等，進(jìn)而導(dǎo)致其密碼和會(huì)話 Cookie 被竊取。

黑客成功入侵多個(gè)合法賬戶后還會(huì)設(shè)置郵箱規(guī)則，自動(dòng)刪除收到的郵件并將所有信箱標(biāo)記為“已讀”，確保受害者這邊完全察覺不到異常情況。

最后，這些攻擊者還會(huì)向受害者通訊錄里的聯(lián)系人發(fā)送多達(dá) 600 封釣魚郵件，達(dá)成鏈?zhǔn)絺鞑サ哪康?/strong>。

更陰險(xiǎn)的是，黑客還會(huì)持續(xù)監(jiān)控被入侵的郵箱，刪除退信通知和“外出辦公”自動(dòng)回復(fù)郵件以抹除痕跡。當(dāng)收件人心生疑慮并詢問狀況時(shí)，攻擊者還會(huì)冒充受害者進(jìn)行回復(fù)，聲稱一切正常，隨后再刪掉相關(guān)對(duì)話記錄。

微軟在一份官方聲明中回應(yīng)此事，并建議受影響的公司吊銷所有會(huì)話 Cookie、刪除攻擊者創(chuàng)建的郵箱規(guī)則，并檢查近期是否有未經(jīng)授權(quán)的多因素認(rèn)證設(shè)置更改。公司強(qiáng)調(diào)，重置密碼無法在這種場(chǎng)景下解決問題。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。