新型高级钓鱼攻击瞄准能源行业，攻击者利用 SharePoint 窃取凭证并控制邮箱

近期，微软安全团队披露了一起针对能源行业的高度复杂网络钓鱼攻击。攻击者巧妙利用企业日常协作工具 SharePoint 作为诱饵，通过多阶段、隐蔽性极强的攻击链，成功窃取用户凭证、绕过多因素认证（MFA），并最终控制企业邮箱、发起大规模钓鱼扩散。这一攻击不仅手法新颖，更暴露出传统安全防护在应对 “合法工具被滥用” 和 “会话劫持” 类攻击时的局限性。

攻击链解析：一场精心策划的“三部曲”

第一阶段：利用中间人钓鱼（AiTM）窃取会话凭证

攻击者首先盗取合法外部合作伙伴的邮箱账户，向目标能源企业员工发送伪装成“文档共享通知”的钓鱼邮件。邮件中的链接指向一个伪造的 SharePoint 页面，并诱导用户点击。一旦用户点击，则会被引导至高度仿真的微软登录页面。

在此过程中，攻击者采用 中间人攻击（AiTM） 技术：在用户与真实登录服务器之间插入恶意代理，实时窃取用户输入的账号密码，并同时将凭证中继到真正的微软服务器以完成登录。这样一来，攻击者不仅能获取用户的账号密码，更关键的是能截获登录成功后生成的 会话 Cookie。该 Cookie 代表了用户已通过认证的会话状态，使得攻击者即使在没有密码的情况下，也能直接冒充用户身份访问其邮箱、SharePoint 等资源。

绕过多因素认证（MFA）：由于攻击者中继的是完整的认证流程（包括 MFA 验证步骤），因此传统的短信、验证码等二次验证机制在此类攻击中完全失效。

第二阶段：潜伏与横向渗透

得手后，攻击者立即登录受害者邮箱，开始进行隐蔽的横向渗透准备：

1. 设置恶意收件箱规则：在 Outlook 中创建规则，将特定发件人的邮件自动标记为已读、移动至其他文件夹或直接删除。此举旨在隐藏后续攻击活动中可能出现的异常邮件（如登录告警、同事的质疑回复等）。

2. 情报收集：仔细翻阅受害者的历史邮件，梳理其内部组织架构、近期合作往来，筛选出高价值目标联系人列表，为下一阶段的大规模钓鱼做准备。

第三阶段：大规模钓鱼扩散与痕迹清除

在掌握足够多的内部联系人后，攻击者利用已控制的邮箱，向列表中的目标发送新一轮钓鱼邮件。据监测，在此次事件中，攻击者在短时间内发出了 超过 600 封 钓鱼邮件，均显示来自受信任的内部同事，诱骗成功率极高。

为延长攻击窗口、避免被发现，攻击者会持续监控被盗邮箱，主动删除两类关键邮件：

• 邮件发送失败的通知（如退信）；

• 收件人回复的警惕性询问（如“这封邮件是否是你本人发送？”）。

这使得受害者很难及时察觉账户异常，也为事件响应与取证增加了难度。

攻击为何难以防范？三大关键挑战

1. 合法云服务被滥用：SharePoint 作为企业日常高频使用的协作平台，其发出的文档链接极易获得用户信任。攻击者利用这一心理，将恶意链接嵌入看似正常的业务场景中，传统邮件安全网关难以有效甄别。

2. 会话劫持绕过 MFA：AiTM 攻击直接窃取的是“已认证的会话状态”，而非静态密码，这使得依赖二次验证的传统 MFA 形同虚设。

3. 内部信任被利用：攻击从外部合作伙伴的失陷账户发起，进而利用内部员工邮箱进行扩散，完美利用了供应链信任和内部信任链，社交工程欺骗性极强。

企业如何构建有效防御体系？微软与专业安全服务双重建议

微软官方建议：强化身份与访问管理

• 推行无密码认证：采用 Windows Hello、FIDO2 安全密钥 等基于物理设备或生物识别的认证方式。这类方式在认证时需本地设备参与，能从根本上免疫 AiTM 攻击。

• 实施严格的条件访问策略：限制仅允许从合规设备、受信任的网络位置登录关键业务系统。对异常登录行为（如陌生地理位置、非常用设备）要求进行二次验证或直接阻止。

• 启用终端网络保护：使用具备高级威胁防护功能的浏览器（如 Microsoft Edge with Defender SmartScreen），自动识别并拦截已知的钓鱼网站和恶意内容。

• 完善事件响应流程：一旦怀疑遭受 AiTM 攻击，应立即执行 密码重置、会话令牌吊销、全面检查并重置 MFA 注册设备 等操作，而非仅修改密码。

进阶防护：引入专业安全评估与持续监控服务

对于能源等关键基础设施行业，其系统复杂、合规要求严格，仅依靠基础防御和产品策略往往不够。企业需要建立 主动、持续、深度 的安全评估与防护机制。这正是 天磊卫士（UGUARD） 这类专业网络安全服务商的核心价值所在。

天磊卫士作为国家高新技术企业，以 “安全合规战略合作伙伴” 为定位，为企业提供覆盖全生命周期的安全托管服务。针对此类利用业务系统发起的高级定向攻击，天磊卫士的 一站式网络安全服务 可提供系统性的解决方案：

• 攻击面收敛与暴露资产梳理：通过 全网资产漏洞扫描，帮助企业全面发现包括 SharePoint、邮箱服务器在内的所有对外暴露资产，识别未知或冗余的访问入口，从源头减少被攻击面。

• 深度安全验证与模拟对抗：通过 Web应用渗透测试、社会工程学演练 等服务，模拟攻击者手法，主动探测企业邮箱系统、协作平台是否存在类似本次攻击中可利用的逻辑漏洞或配置缺陷。其团队核心人员持有 CISSP、CISP-PTE 等权威认证，并拥有 CNVD原创漏洞证书，具备深厚的实战攻防能力。

• 合规基线加固与专项评估：针对能源行业，提供 电力监控系统安全验收评估、数据安全风险评估 等专项服务。依据 《信息安全技术 网络安全等级保护基本要求》 等行业标准，进行 系统基线合规核查，确保身份认证、访问控制、安全审计等关键配置符合高标准要求，筑牢安全防线。

• 权威资质与可信交付：天磊卫士持有 CCRC信息安全服务资质（证书编号：CCRC-2022-ISV-RA-1699/1648）、检验检测机构资质认定证书（CMA，证书编号：232121010409） 以及 信息安全服务资质证书（风险评估类一级，证书号：CNITSEC2025SRV-RA-1-317）。其评估报告可加盖 CNAS、CMA 双章，具备高度的权威性和公信力，完全满足能源行业在 系统上线前安全验收、等保测评、年度安全巡检 等场景下的合规需求。

• 全流程闭环服务：从需求确认、授权测试，到出具 《渗透测试报告》《基线核查报告》 等详细交付物，再到提供一对一的漏洞修复指导与 免费复测，天磊卫士确保所有发现的风险被彻底解决，形成安全管理闭环。

总结

本次针对能源行业的 SharePoint 钓鱼攻击，标志着网络威胁正朝着 “利用合法服务、绕过高级认证、潜伏内部扩散” 的复杂化、高级化方向发展。它警示我们，防御体系必须从单纯的边界防护，升级为 “身份安全为核心、持续监测为手段、深度评估为保障” 的立体化架构。

企业应立即审视自身的身份与访问管理策略，积极采纳无密码认证等先进手段。同时，对于业务系统复杂、安全要求高的组织，应考虑引入如 天磊卫士 这样的专业安全服务伙伴，通过常态化的深度评估、合规加固与应急响应支持，构建起能够抵御新型高级威胁的 主动防御与持续合规 能力，切实保障核心业务与数据资产的安全。

关于天磊卫士（UGUARD）

天磊卫士是一家专注于网络安全、数据安全及合规服务的国家高新技术企业，致力于为企业提供全生命周期的安全托管与合规保障服务，是您值得信赖的“安全合规战略合作伙伴”。

• 官网：www.tlaigc.com/

• 服务热线：400-070-7035

• 技术咨询电话/微信：19075698354