微软预警能源行业多阶段AitM钓鱼及BEC攻击活动

二、微软预警能源行业多阶段AitM钓鱼及BEC攻击活动

微软近日发布预警，称发现一起针对能源行业多家机构的多阶段中间人（AitM）钓鱼及商业邮件入侵（BEC）攻击活动。微软防御安全研究团队指出：“该攻击活动滥用SharePoint文件共享服务投递钓鱼载荷，并通过创建收件箱规则维持持久控制、规避用户察觉，随后逐步升级为一系列AitM攻击及后续BEC行为，波及多家机构。”

研究发现，攻击者在初步入侵后，会利用受害者内部可信身份，发起大规模组织内及跨组织钓鱼攻击，以此扩大攻击范围、拓宽活动覆盖面。攻击的初始入口为钓鱼邮件，此类邮件通常来自事先被入侵的可信机构邮箱——攻击者借助这一合法渠道，伪装成SharePoint文档共享流程发送信息，凭借虚假可信度诱使收件人点击钓鱼链接。

攻击技术特点：滥用可信站点规避检测

由于SharePoint、OneDrive等服务在企业环境中应用广泛，且邮件源自合法地址，此类攻击不易引发怀疑，便于攻击者投递钓鱼链接或植入恶意载荷。这种方式也被称为“依托可信站点攻击（LOTS）”，核心是利用此类平台的普遍性与用户熟悉度，绕过以邮件为核心的检测机制。

用户点击链接后，会被重定向至伪造的凭证输入界面，看似需验证身份才能查看文档。攻击者通过窃取的账号凭证及会话Cookie获取账号访问权限后，会创建收件箱规则：删除所有 incoming邮件、将全部邮件标记为已读。以此为基础，被入侵邮箱会被用于发送包含虚假链接的钓鱼邮件，通过AitM攻击窃取更多凭证。

攻击案例及持久化手段

微软披露，在一起案例中，攻击者通过被入侵账号向其内部及外部联系人发送了600余封钓鱼邮件。此外，攻击者还会删除未送达邮件及自动回复邮件，若收件人对邮件真实性提出质疑，会主动联系并打消疑虑，随后立即删除相关通信记录。微软强调：“这些手段在BEC攻击中较为常见，核心目的是隐藏攻击行为、维持持久控制，避免被受害者发现。”

此次攻击凸显了AitM攻击的“操作复杂性”，仅重置密码无法彻底消除威胁——受影响机构需撤销活跃会话Cookie、删除攻击者创建的规避检测类收件箱规则。微软表示，已协助客户撤销攻击者在被入侵账号上修改的多因素认证（MFA）配置，并删除可疑规则。目前，攻击波及的机构数量及是否由已知网络犯罪组织发起，仍有待进一步确认。

防护建议及相关攻击趋势

微软建议机构与身份提供商协作，部署抗钓鱼MFA等安全控制措施、启用条件访问策略、实施持续访问评估，并部署反钓鱼解决方案，对入站邮件及访问网站进行实时监控与扫描。

此类攻击也反映出当前威胁 actor的核心趋势：滥用谷歌云端硬盘、亚马逊云服务（AWS）、Atlassian Confluence维基等可信服务，重定向至凭证窃取站点或植入恶意软件。这种方式无需攻击者搭建自有基础设施，还能让恶意行为伪装成合法操作，大幅降低攻击成本与被检测概率。

三、相关攻击变体：语音钓鱼工具包及视觉欺骗手段

与此同时，身份服务提供商Okta披露，发现专为语音钓鱼（钓鱼）活动设计的定制化钓鱼工具包，攻击目标涵盖谷歌、微软、Okta及多家加密货币平台。攻击者伪装成技术支持人员，通过伪造的支持热线或企业电话号码联系目标用户，诱使其访问恶意链接并提交凭证——窃取的凭证会通过Telegram频道实时传输给攻击者，供其非法访问用户账号。

此类攻击的社会工程设计极为周密：攻击者会先对目标开展侦察，再定制钓鱼页面。该工具包以服务形式售卖，内置客户端脚本，使攻击者能在与用户通话时，实时控制目标浏览器的认证流程——通过口头指导诱使用户执行操作（如批准推送通知、输入一次性密码），最终绕过MFA验证。

Okta威胁情报研究员穆萨·迪亚洛表示：“借助这些工具包，攻击者可在通话过程中，同步控制目标用户浏览钓鱼页面的内容，与口头指令精准配合，这种同步性可突破所有非抗钓鱼型MFA防护。”

视觉欺骗新手法：URL伪装与同形异义字符攻击

近几周，钓鱼活动开始滥用基础认证URL格式（即“用户名:密码@域名[.]com”），在用户名字段填入可信域名，后接@符号及实际恶意域名，通过视觉误导欺骗用户。Netcraft指出：“用户看到以熟悉可信域名开头的URL时，可能误以为链接合法安全，但浏览器会将@符号前的内容解析为认证凭证，而非目标地址的一部分，实际连接的域名是@符号后的恶意地址。”

另有攻击活动采用简单视觉欺骗技巧，用“rn”替代字母“m”隐藏恶意域名，使目标误以为访问的是微软（rnicrosoft[.]com）、万事达卡（rnastercard[.]de）、万豪酒店（rnarriotthotels[.]com）、三菱电机（rnitsubishielectric[.]com）等合法域名，这类攻击被称为“同形异义字符攻击”。

Netcraft研究员伊万·哈门卡表示：“攻击者常针对以M开头的品牌使用此手法，但最具迷惑性的是在单词中间用‘rn’替换‘m’。若这种伪装出现在企业品牌、子域名或服务标识常用词汇中，危险性会进一步升级——邮件、信息、会员、确认、通信等词汇中均含中间位置的‘m’，用户通常不会仔细甄别。”

觉得本文有价值？欢迎关注我们的谷歌新闻、推特及领英账号，获取更多独家内容。