能源行业遭遇高级SharePoint钓鱼攻击：新型威胁解析

威胁行为者利用SharePoint针对能源行业发起定向攻击

安全研究人员近期发现一起新型钓鱼攻击活动，攻击者利用Microsoft SharePoint平台实施中间人攻击（AitM）和商业电子邮件入侵（BEC）攻击，针对能源行业组织进行凭证窃取和恶意载荷投递。此次攻击展示了网络钓鱼手段的不断演进。

攻击技术细节

威胁行为者滥用SharePoint的合法文件共享功能，通过嵌入钓鱼链接的伪造SharePoint通知绕过传统电子邮件安全过滤器。受害者点击链接后，会被重定向至伪造登录页面，实时窃取其凭证。

此次攻击活动的主要特征包括：

• 中间人钓鱼（AitM）：攻击者拦截身份验证会话，窃取凭证和会话令牌。
• 商业电子邮件入侵（BEC）：利用被入侵的账户进行欺诈性金融交易或内部钓鱼攻击。
• 滥用合法服务：利用SharePoint的可信度降低受害者警惕，提高攻击成功率。

对能源行业的影响

能源行业因其关键基础设施地位，一直是高价值攻击目标。成功的攻击可能导致：

• 未经授权访问敏感运营系统。
• 通过BEC手段实施金融欺诈。
• 通过凭证泄露破坏能源供应链。

防御建议

能源行业及其他高风险行业的安全团队应采取以下措施：

1. 实施多因素身份验证（MFA）：强制对所有SharePoint和电子邮件账户启用MFA，降低凭证被盗风险。
2. 监控异常活动：部署行为分析工具，检测异常登录模式或文件共享行为。
3. 员工安全培训：开展钓鱼意识培训，帮助员工识别恶意SharePoint通知。
4. 增强电子邮件安全：使用高级威胁防护技术，在钓鱼邮件到达终端用户前进行拦截。
5. 限制SharePoint共享权限：减少外部文件共享权限，降低暴露风险。

研究人员正在持续跟踪此次攻击活动，后续调查可能披露更多细节。组织应保持警惕，防范针对SharePoint等可信平台的新型钓鱼攻击。