台湾电脑网络危机处理暨协调中心(TWCERT/CC)近日表示,资安厂商发现某骇侵团体于去年窃得的大批各企业内网登入资讯,因操作不慎而被公开在网络上,任何人皆可搜寻并取得相关资讯。
TWCERT/CC 指出,根据资安厂商 Check Point 日前发布最新研究报告显示,这批资讯是在 2020 年 8 月间,透过一波针对全球数千家企业发动的钓鱼 Email 攻击而收集到的;受害企业数量十分广大,范围遍及能源产业、营建业、IT 产业、医疗保健业、房地产、制造业、教育业、运输业、金融服务业,以及零售业等等。
报告显示,在这波攻击中,骇侵者使用了复杂的技术,成功绕过 Microsoft 365 内建的 Advanced Threat Protection 机制,进而针对这些企业发动钓鱼 Email 攻击,成功骗取到数千组各家公司内部网络的登入资讯。
据悉,这波攻击行动的钓鱼邮件,是伪装成 Xerox 多功能文件处理机发出的通知信件,诱导受害用户开启含有恶意程式码的附件档案;当用户开启该档案,就会出现伪造的 Microsoft Office 365 登入画面。一旦用户在假登入画面中输入登入账密时,登入资讯就会被传送出去。
报告进一步说明,为了分散被封锁的风险,这波攻击行动的骇侵者,除了自建控制服务器以外,也将骇侵取得的资料存放在多个遭骇入的 WordPress 网站之中。这样同时也可以减少对外传送窃得资讯时,遭到防毒防骇系统拦截的机会;然而因为该骇侵团体的设定错误,导致这些资讯均可透过 Google 搜寻取得。
(首图来源:Pixabay)
