文章总结： 微软发现黑客利用AiTM技术窃取能源公司凭据，通过社会工程学获取零号账户后发送钓鱼邮件，窃取密码及会话Cookie以绕过MFA。攻击者设置邮箱规则隐藏痕迹并冒充受害者回复。微软建议需吊销会话Cookie、删除邮箱规则并检查MFA设置，重置密码无效。 综合评分： 85 文章分类： 威胁情报,社会工程学,应急响应

【安全圈】警惕！黑客如何绕过验证窃取凭证

安全圈

2026年1月26日 19:00 江苏

关键词

黑客

据科技媒体 neowin 前天报道，微软 Defender 安全研究人员最近发现一起恶意活动，黑客使用对手中间人攻击（注：AiTM）技术，成功窃取多家能源公司员工的登录凭据。

据报道，黑客首先会使用社会工程学等手段寻找一个员工的肉鸡账户，利用这一 ” 零号账户 ” 获取目标公司内部其他邮箱的访问权限和登录凭证，并成功绕过多因素身份验证。

随后，黑客会使用这一傀儡账户广撒网，向多名用户发送伪装成 SharePoint 共享文档的钓鱼邮件。一旦受害者点开链接就会被重定向至伪造网站，要求用户输入用户名、密码等，进而导致其密码和会话 Cookie 被窃取。

黑客成功入侵多个合法账户后还会设置邮箱规则，自动删除收到的邮件并将所有信箱标记为 ” 已读 “，确保受害者这边完全察觉不到异常情况。

最后，这些攻击者还会向受害者通讯录里的联系人发送多达 600 封钓鱼邮件，达成链式传播的目的。

更阴险的是，黑客还会持续监控被入侵的邮箱，删除退信通知和 ” 外出办公 ” 自动回复邮件以抹除痕迹。当收件人心生疑虑并询问状况时，攻击者还会冒充受害者进行回复，声称一切正常，随后再删掉相关对话记录。

微软在一份官方声明中回应此事，并建议受影响的公司吊销所有会话 Cookie、删除攻击者创建的邮箱规则，并检查近期是否有未经授权的多因素认证设置更改。公司强调，重置密码无法在这种场景下解决问题。

END

阅读推荐

【安全圈】Microsoft 365发生故障 影响全球用户

【安全圈】立讯精密遭黑客攻破，苹果、英伟达等绝密图纸恐曝光

【安全圈】3300 万条短信洞察：免密登录成黑客后门，数百万用户隐私裸奔

【安全圈】Cloudflare 零日漏洞：可绕过 WAF 访问全球任意后端主机

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】警惕！黑客如何绕过验证窃取凭证》