惊：黑客持续窃取高管 Outlook 邮箱数据长达五个月

一家全球主要证券交易所的高管Outlook邮箱遭到不明攻击者入侵。攻击者分批次窃取收件箱数据，通过Dropbox和OneDrive传输，整个过程持续至少五个月，并将数据流量伪装成正常云服务活动以规避检测。

赛门铁克与Carbon Black威胁狩猎团队本周披露了此次攻击行动。种种迹象表明，这是一次以间谍活动为目的的攻击，而非经济利益驱使。

尽管未透露具体高管及交易所名称，但目标价值显而易见：交易所高管的邮箱中可能包含非公开的上市细节、监管事务、交易条款、市场影响计划，以及高管日程安排和联系人信息。

攻击者通过长达五个月的持续访问，无需侵入其他业务系统，就能详细掌握该高管的业务往来及所在机构的战略动向。

• 首次恶意活动：2025年10月10日。攻击者已通过SYSTEM权限运行两个二进制文件——伪装成Adobe更新程序和伪装成OneDrive。初始入侵途径不明，可能来自此前已被入侵设备的横向移动。
• 攻击全面展开：11月12日，攻击者获取Dropbox API令牌，使用curl上传数据，并部署核心工具——基于合法.NET库Aspose开发的邮箱窃取程序。该程序可读取Outlook OST/PST文件，将邮箱转换为PST格式写入磁盘，每次运行需提供密码和日期范围参数。
• 数据窃取节奏：首次运行窃取2025年8月以来的全部数据。此后每两到四周返回一次，仅获取增量邮件，直至2026年2月17日共进行八次数据窃取。这种细粒度分批窃取形成了近乎连续的邮箱副本，同时避免触发安全告警。

• 计划任务伪装：伪装成Adobe、联想和OneDrive的系统服务。
• 数据外传：使用Dropbox和个人版OneDrive，连接OneDrive时直接使用硬编码的微软IP地址（而非onedrive.live.com域名），避免DNS查询被边界设备捕获或拦截。
• 测试与收尾：曾短暂测试过temp.sh公共文件托管服务后弃用。最后一次观测活动是2026年3月19日部署了新后门（已预置但未执行），赛门铁克专家认为这可能意味着攻击者随后失去了访问权限。

赛门铁克公布的攻击指标显示，攻击者使用了完整的入侵工具包，包括：

• FRPC：流量隧道穿透
• Secretsdump：提取Windows凭据
• SharpDecryptPwd：恢复应用保存的密码
• 绕过Windows用户账户控制的工具

报告未说明各项工具的具体使用情况，这些工具也无法关联到特定攻击组织。

本次事件不涉及任何CVE漏洞，攻击针对的是个人邮箱而非新披露的安全缺陷。这正是其值得警惕之处——无法通过补丁修复，防御重点必须转向监测与响应。

攻击溯源尚未明确。攻击者混用公开工具和消费级云服务，难以关联到已知攻击组织。通过Dropbox和OneDrive路由外传数据是常见手法，微软曾警告这是突破边界防御并混淆溯源的有效方式。

建议：交易所、监管机构或掌握市场敏感信息的公司，应立即检查相关哈希值并监控以下行为：

• 异常的邮箱导出活动
• 异常的Outlook访问
• 向个人Dropbox或OneDrive账户上传数据
• 意外的隧道通信
• 与特权用户系统相关的凭据转储行为

参考来源：

Hackers Spied on a Stock Exchange Executive's Outlook Mailbox for Five Months

https://thehackernews.com/2026/06/hackers-spied-on-stock-exchange.html

部分信息来源网络，如有侵权请联系删除