一家全球主要证券交易所的一名高管Outlook邮箱遭到不明攻击者入侵,其收件箱数据被分批次窃取,并通过Dropbox和OneDrive传输,整个过程持续至少五个月。攻击者刻意将数据流量伪装成正常的云服务活动,以规避检测。
赛门铁克与Carbon Black威胁狩猎团队本周披露了此次攻击行动。种种迹象表明,这是一次以间谍活动为目的的攻击,而非单纯的经济利益窃取。赛门铁克分析称,攻击指令显示其目的是情报收集,而非牟利。
Part01
高管邮箱的敏感价值
尽管未透露具体高管及交易所名称,但目标价值显而易见:交易所高管的邮箱中可能包含非公开的上市细节、监管事务、交易条款、影响市场的计划,以及高管的日程安排和联系人信息。
攻击者通过长达五个月的持续访问,无需侵入其他业务系统,就能详细掌握该高管的业务往来及所在机构的战略动向。
Part02
攻击时间线与技术细节
首次恶意活动出现在2025年10月10日。当时攻击者已通过SYSTEM权限(Windows 最高权限级别)运行两个二进制文件:一个伪装成Adobe 更新程序,另一个伪装成OneDrive。当防御人员发现异常时,入侵者已完全控制设备,初始入侵途径至今仍不明确。
赛门铁克确认,最早的攻击迹象可能来自此前已遭入侵设备的横向移动。11月12日,攻击行动全面展开:攻击者获取了Dropbox API令牌,开始使用curl上传数据,并部署了核心工具——基于合法 .NET 库Aspose开发的邮箱窃取程序。该程序可读取Outlook OST和PST文件,通过可执行文件将邮箱转换为PST格式写入磁盘,每次运行时需提供密码和日期范围参数。
首次运行窃取了2025年8月以来的全部数据。此后攻击者每两到四周返回一次,每次仅获取上次窃取后的新增邮件,直至2026年2月17日共进行了八次数据窃取。这种细粒度分批窃取方式形成了近乎连续的邮箱副本,同时避免了触发安全软件告警。
Part03
精心设计的隐蔽策略
攻击者通过模仿常规操作实现隐蔽:计划任务伪装成 Adobe、联想和OneDrive系统服务;数据外传使用Dropbox和个人版OneDrive,且连接OneDrive时直接使用硬编码的微软 IP 地址而非 onedrive.live.com 域名,避免DNS查询被边界设备捕获或拦截。
攻击者曾在 2025 年 11 月短暂测试过公共文件托管服务temp.sh,但随后弃用。最后一次观测到的活动是 2026 年 3 月 19 日部署的新后门(已预置但未执行),赛门铁克专家Elias认为这可能意味着攻击者随后失去了访问权限。
Part04
更广泛的攻击工具集
赛门铁克公布的攻击指标显示,攻击者使用了完整的入侵工具包,不仅限于邮箱窃取:包括用于流量隧穿的FRPC、提取Windows凭据的Secretsdump、恢复应用保存密码的SharpDecryptPwd,以及绕过Windows用户账户控制的工具。报告未说明各项工具的具体使用情况,这些工具也无法关联到特定攻击组织。
Part05
无补丁可修复的威胁
本次事件不涉及任何CVE漏洞,攻击针对的是个人邮箱而非新披露的安全缺陷,这也正是其值得警惕之处——无法通过补丁修复,防御重点需转向监测与响应。
攻击溯源尚未明确。攻击者混用公开工具和消费级云服务,难以关联到已知攻击组织。通过Dropbox和OneDrive路由外传数据是常见手法,微软曾警告这是突破边界防御并混淆溯源的有效方式。
对于交易所、监管机构或掌握市场敏感信息的公司,建议立即检查相关哈希值并监控以下行为:异常的邮箱导出活动、异常的Outlook访问、向个人Dropbox或OneDrive账户上传数据、意外的隧道通信,以及与特权用户系统相关的凭据转储行为。
参考来源:
Hackers Spied on a Stock Exchange Executive's Outlook Mailbox for Five Months
https://thehackernews.com/2026/06/hackers-spied-on-stock-exchange.html
编辑:陈十九
审核:商密君
征文启事
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……




还没有评论,来说两句吧...