滲透合作公司員工郵件帳號發SharePoint文件共用信,能源公司遭多階段AiTM網釣與BEC鎖定
攻擊手法與技術細節
微軟21日揭露一起鎖定能源產業的大規模攻擊,駭客結合了對手中間人攻擊(AiTM)與商業郵件詐騙(BEC),過程裡運用SharePoint檔案共用服務發送釣魚的有效酬載,並依賴員工帳號進行進一步的內部滲透。
攻擊流程與後續行動
攻擊者首先透過對手中間人攻擊(AiTM)入侵單個員工帳號,再發送偽裝成SharePoint共享文件的釣魚郵件,以竊取員工登入憑據。一旦取得憑據,攻擊者便能進一步進入公司內部環境,並設置自動刪除郵件與標記為「已讀」的規則,使受害者完全無法察覺異常。
產業影響與研究關注
近期能源產業頻繁遭遇類似攻擊,例如波蘭電力系統在12月底遭俄羅斯駭客Sandworm攻擊,雖試圖使用資料破壞軟體(Wiper)進行破壞,但最終未得逞。此類商業郵件詐騙(BEC)攻擊已引起研究人員高度關注,尤其在企業內部人員管理與防禦機制方面。
防禦建議
- 加強對SharePoint等內部共用平臺的存取控制與驗證機制。
- 建立對可疑郵件的自動偵測與告警機制,特別是涉及文件共用與轉帳請求的內容。
- 推動員工對BEC攻擊的識別訓練,提升對偽冒郵件與異常行為的警覺性。