security.com
對駭客來說,比起在企業中橫向移動、大規模擴散,若有辦法控制單一高階主管的郵件帳號,或許能藉此獲取更高的價值。Broadcom旗下Symantec與Carbon Black團隊,近日揭露一起鎖定全球大型證券交易所的網路間諜活動,攻擊者成功入侵高階主管電子郵件帳號,並在長達5個月的期間持續竊取郵件資料。
研究團隊指出,這次攻擊的初始入侵途徑仍然不明,相關跡象最早可追溯至2025年10月,此時攻擊者已取得SYSTEM權限,並部署偽裝成Adobe Acrobat Reader與OneDrive元件的惡意程式,用於展開後續攻擊活動。接著攻擊者利用合法.NET函式庫Aspose,將Outlook OST郵件資料轉換為PST格式後,分割為小型增量檔案,透過Dropbox與OneDrive持續分批外傳,每次僅傳輸少量資料,資安軟體並未因此察覺異狀。而在整個網路間諜活動期間,攻擊者每隔數週就會透過重新建立與執行排程工作,維持惡意程式的運作不間斷。
研究團隊表示,在5個月的時間中,攻擊者始終專注於逐步竊取單一Outlook信箱的內容,但證券交易所高階主管的郵件帳號本身就是極高價值的目標,其中內容足以讓攻擊者建構出組織發展方向等重要商業資訊,而無須進一步橫向移動。
