IT之家 1 月 25 日消息，据科技媒体 neowin 前天报道，微软 Defender 安全研究人员最近发现一起恶意活动，黑客使用对手中间人攻击（IT之家注：AiTM）技术，成功窃取多家能源公司员工的登录凭据。

据报道，黑客首先会使用社会工程学等手段寻找一个员工的肉鸡账户，利用这一“零号账户”获取目标公司内部其他邮箱的访问权限和登录凭证，并成功绕过多因素身份验证。

随后，黑客会使用这一傀儡账户广撒网，向多名用户发送伪装成 SharePoint 共享文档的钓鱼邮件。一旦受害者点开链接就会被重定向至伪造网站，要求用户输入用户名、密码等，进而导致其密码和会话 Cookie 被窃取。

黑客成功入侵多个合法账户后还会设置邮箱规则，自动删除收到的邮件并将所有信箱标记为“已读”，确保受害者这边完全察觉不到异常情况。

最后，这些攻击者还会向受害者通讯录里的联系人发送多达 600 封钓鱼邮件，达成链式传播的目的。

更阴险的是，黑客还会持续监控被入侵的邮箱，删除退信通知和“外出办公”自动回复邮件以抹除痕迹。当收件人心生疑虑并询问状况时，攻击者还会冒充受害者进行回复，声称一切正常，随后再删掉相关对话记录。

微软在一份官方声明中回应此事，并建议受影响的公司吊销所有会话 Cookie、删除攻击者创建的邮箱规则，并检查近期是否有未经授权的多因素认证设置更改。公司强调，重置密码无法在这种场景下解决问题。