Skip to content

威脅情報簡報:Kali365入侵後的因應機制

威脅情資簡報:Kali365 入侵後的運作機制

直擊 Microsoft 365 內部權杖劫持、橫向移動與租戶利用的架構分析

執行摘要: 現今的威脅地景已演進至超越單純的憑證收割。現代的網路釣魚即服務(PaaS)平台如 Kali365,正利用高度複雜的中間人(AiTM)代理伺服器架構,來無縫繞過多因素驗證(MFA)。透過攔截合法的會期(Session)狀態,攻擊者能瞬間從外部執行者轉化為經身分驗證的內部身分,導致傳統的周界控制措施對隨後的利用擴散階段完全失效。

 

第一階段:會期劫持與持久化防禦

Kali365 攻擊行動的真正危害,始於毫無防備的使用者完成看似合法的 Microsoft 365 登入挑戰「之後」。一旦跨越了 MFA 門檻,該犯罪框架便會執行多階段的持久化(Persistence)劇本:

  • 即時會期萃取(turnkey Session Extraction): Kali365 會即時捕獲產生的 OAuth 重新整理權杖(Refresh Tokens)與會期 Cookie。這些憑證會被直接輸送到隨附的桌面工具中,使威脅份子能夠根據需求隨時派生出活躍的瀏覽器會期,而無需觸發全新的身分驗證提示。
  • 濫用自助式密碼重設(SSPR): 憑藉著掌握的作用中會期,攻擊者經常會觸發租戶的 SSPR 工作流。由於既有的會期權杖在密碼變更後依然長期有效,當防禦系統還在因同步延遲而落後時,攻擊者仍能保有長達 24 小時的作用中租戶存取權。
  • 惡意註冊未授權設備: 攻擊者利用合法的會期狀態,直接在 Microsoft 365 租戶中註冊全新的未授權端點。藉由將他們自己的硬體註冊為受管且合規的企業資產,未來的惡意存取將能直接繼承更高基準線的政策信任。

 

第二階段:內部偵察與環境資產發現

一旦鞏固了持久化防禦,Kali365 就會轉化為靜默的資料探勘工具,用以對映目標組織的內部架構與信任關係:

日誌監控盲區: 對企業的資安維運中心(SOC)而言,這種入侵後的資產發現流量與一般員工的日常活動無異,因為它使用的是來自受信任內部網路足跡的合法權權杖。

  • 自動化目錄列舉: 該框架會系統性地搜刮全域通訊錄(GAL),以對映出管理架構、財務審批鏈、關鍵利益關係人以及外部供應鏈合作夥伴。
  • 跨平台資料挖掘: 透過自動化腳本搜刮可存取的 Exchange 信箱、Microsoft Teams 頻道、SharePoint 儲存庫和 OneDrive 分享資料夾,以定位敏感文件與內部通訊模式。
  • 惡意信箱管理: 在執行資產發現的同時,Kali365 會同步建立隱蔽的收件匣規則。凡是包含防禦性詞彙(例如:「資安警報」「未授權登入」「密碼重設」)的入站電子郵件,都會被瞬間路由至隱藏資料夾或直接清除,從而有效地遮蔽受害者,使其對正在發生的侵害毫無察覺。

 

第三階段:惡意利用與橫向特權提升

在對企業生態系統有了深入洞察後,該框架便會觸發具備高衝擊性的變現與特權提升向量:

攻擊向量運作機制維運破壞衝擊
AI 驅動的商業電子郵件詐騙 (BEC)分析歷史「寄件備份」以鏡射使用者的語氣、語法和結構風格。產生極具說服力的 BEC 誘餌,精確鎖定內部員工與供應商進行詐騙。
特權濫用掃描遭入侵身分的存取權限,尋找可觸及的管理員或委派存取路徑。協助對其他帳戶進行密碼重設、停用特定帳戶,並實施局部性的阻斷服務。
租戶配置變更部署惡意的應用程式註冊(Application Registrations)並操縱條件式存取政策。放寬企業的 MFA 強制令,並在雲端基礎設施中建立永久性的程式化後門。

 

防禦姿態轉型:跨越初始點擊的防線

防禦者必須承認,僅僅守住身分驗證邊界已不再足夠。當對手透過合法的代理權權杖進行維運時,若只依賴邊界阻斷或 URL 下架,註定會以失敗收場。資安維運必須轉向主動、激進的內部威脅獵捕,並高度聚焦於驗證後的異常遙測分析。

後續剖析框架預告

本系列技術專題將繼續深入探討以下兩個關鍵領域的威脅矩陣:

  1. 對手的基礎設施: 深入透視 Kali365 營運者如何建立、維護和擴張其基礎設施,以鎖定託管服務供應商(MSP)和企業生態系統。
  2. 偵測與緩解藍圖: 交付實用的威脅獵捕劇本、遙測查詢指令以及政策硬化步驟,旨在隔離權權杖濫用,並揪出已在租戶內部槓桿相同工具和介面進行活動的攻擊者。

關於 Guardz

Guardz 為管理服務提供商 (MSP) 和 IT 專業人士提供一個人工智能驅動的網絡安全平台,專門設計來保護小型企業免受網絡攻擊。我們的統一檢測與響應平台能夠全面保護用戶、電子郵件、設備、雲端目錄和數據。透過簡化網絡安全管理,我們讓企業能夠專注於發展業務,同時減少安全管理的複雜性。Guardz 結合強大的網絡安全技術和豐富的專業知識,確保安全措施持續受到監控、管理和改進,預防未來的攻擊並降低風險。

About Version 2

Version 2 Digital is one of the most dynamic IT companies in Asia. The company distributes a wide range of IT products across various areas including cyber security, cloud, data protection, end points, infrastructures, system monitoring, storage, networking, business productivity and communication products. Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, different vertical industries, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.

ESET 2025年度報告:強勁成長源自於技術領先地位、獨立性和值得信賴的專業能力

布拉提斯拉瓦2026 年 6 月 18 日 — 歐洲最大的網路安全廠商* ESET 今日宣布其 2025 年度的財務與營運成果,展現出持續的增長、強勁的獲利能力,以及在創新與全球擴張方面的持續進展。

ESET 集團報告營收達 7.33 億歐元,年增率為 6%(若按 2025 年固定匯率計算則增長 8%)。稅前息折舊攤銷前獲利(EBITDA)達到 1.05 億歐元,其中企業客戶持續成為推動成長的主力,而消費性產品市場的表現亦超出預期。

清晰的身分認同:獨立性、自主技術與信任

ESET 的亮眼表現根植於其獨樹一幟的網路安全思維。作為一家私有制的歐洲企業,ESET 將獨立性、內部自主技術研發以及長期的專業經驗相結合,在日益複雜的威脅地景中提供可靠的防護。這些特質進一步鞏固了其對法規遵循與可信賴技術研發的承諾。

從偵測引擎、人工智慧(AI)到威脅情資,ESET 的技術堆疊全數為內部自主研發,這讓 ESET 得以完全掌控品質、創新與安全性。此模式不僅能對新興威脅做出更快的反應,更強化了客戶、合作夥伴及公立機構對其的信任。

ESET 執行長 Richard Marko 表示:「快速的技術變革與日益緊張的地緣政治局勢,在 2025 年持續重塑網路安全領域。這些動態變化不僅加速了市場需求,更凸顯了值得信賴且具備獨立性的網路安全供應商有多麼重要。」

企業端擴展驅動業務增長

業務增長主要得益於企業客戶的強勁需求。ESET 亦持續透過 ESET PRIVATE 解決方案推進其客製化產品線,為大型組織、政府單位及關鍵基礎設施營運商交付量身打造的網路安全防護,其範疇涵蓋實體隔離(Air-gapping)、內嵌式掃描、主動式客戶端防護、工業安全,以及包含私有安全維運中心(SOC)服務與客製化顧問諮詢在內的各項服務。此方案結合了先進技術與專業服務,以同時滿足複雜的維運與法規遵循需求。

透過創新與 AI 推进網路安全

在 2025 年,ESET 進一步強化了橫跨企業與消費性領域的產品組合,並高度聚焦於 AI 驅動的安全、自動化與彈性韌性。ESET 在應用 AI 時,強調負責任且具實用性的使用情境,在確保產出可衡量之安全成果的同時,嚴格符合隱私與法規遵循標準。

核心創新亮點包括:

  • 於 ESET PROTECT XDR 中引入 ESET AI Advisor,以簡化安全維運、緩解分析師疲勞,並協助解決資安人才短缺問題
  • 增強對抗勒索軟體的防禦韌性
  • 提供更快速的託管式偵測與回應(MDR)
  • 擴大與 Splunk 和 Wazuh 等主流平台的整合生態系
  • 推出全新的威脅情資資料餵送(Threat Intelligence Feeds),涵蓋勒索軟體、網路釣魚和殭屍網路(Botnets)
  • 消費性產品領域:新增勒索軟體修復、深度網頁檢查(用於進階釣魚偵測),以及路由器等級的 VPN,為整個家庭網路提供延伸防護

深耕歐洲根基,邁向全球擴張

作為一家擁有超過 35 年經驗的歐洲企業,ESET 在擴大全球業務足跡的同時,依然保持著強烈的在地認同。

在 2025 年,該公司透過在哥本哈根成立 ESET Norden 總部,深化了其在北歐地區的市場佈局。這一擴張反映了其將全球視野與在地專業相結合的宏觀戰略,進而與客戶及合作夥伴建立更緊密的關係。

伴隨此次擴張,ESET Cyber Awareness Training(網路安全意識培訓)亦在全球市場全面轉化為服務模式上線,成為提升各地市場網路防禦韌性的核心基石。

研究導向的專業實力與全球影響力

ESET 的研究能力始終是其成功的基石,不僅能洞察演進中的威脅地景,更全方位支援產品研發與全球網路安全反制行動。

在 2025 年,ESET 研究人員貢獻了多項重大發現,包括:

除學術研究外,ESET 亦積極與歐洲刑警組織(Europol)及歐洲網路資安局(ENISA)等國際組織密切合作,共同打擊網路犯罪並強化全球資安韌性。

權威認可與效能驗證

ESET 的技術與專業實力在 2025 年持續獲得獨立測試機構與行業分析師的高度肯定,其中包括:

  • ESET HOME Security Essential 榮獲 AV-Comparatives 2024 年度最佳產品(Product of the Year)
  • ESET HOME Security 在 2025 年 IDC MarketScape:《全球消費性數位生活防護報告》中被評選為「領導者(Leader)」
  • ESET 在 MITRE ATT&CK® 評測中表現優異,達到 100% 的防護率
  • ESET 榮獲多項 AV-Comparatives 頒發的 EPR(端點預防與回應)、EDR 及企業安全獎項
  • ESET 榮獲 2025 年 SC Award 勒索軟體修復(Ransomware Remediation)大獎

這些成果再次鞏固了 ESET 作為高品質網路安全解決方案信賴供應商的地位。

以專業人才為本的彈性組織

ESET 的長期成功仰賴於其人才。公司受益於極高的人才持續性,有很大比例的專家在公司服務超過十年以上——這在面臨全球人才荒的資安產業中是一項巨大的競爭優勢。

這種穩定性與其獨立性及自主研發能力相結合,使 ESET 能夠維持不間斷的創新並交付長期價值。

展望未來

在 2025 年,ESET 持續強化其作為技術導向型網路安全公司的地位,將 AI、人類專家經驗與全球威脅情資完美融為一體,在這個日益由 AI 驅動的世界中,交付具備彈性韌性、迎向未來的解決方案。

公司將繼續致力於保護全球的企業與個人,同時為建構一個更安全、更可信賴的數位環境做出貢獻。

欲了解更多資訊,請參閱完整的

ESET 2025 年度報告.

*根據 Frost Radar™: Endpoint Security, 2025 (Frost & Sullivan) 報告指出,ESET 是總部設立於歐洲的最大全球網路安全供應商。

 

關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。

About Version 2

Version 2 Digital is one of the most dynamic IT companies in Asia. The company distributes a wide range of IT products across various areas including cyber security, cloud, data protection, end points, infrastructures, system monitoring, storage, networking, business productivity and communication products. Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, different vertical industries, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.

×

Hello!

Click one of our contacts below to chat on WhatsApp

×