Skip to content

威脅情報簡報:Kali365入侵後的因應機制

威脅情資簡報:Kali365 入侵後的運作機制

直擊 Microsoft 365 內部權杖劫持、橫向移動與租戶利用的架構分析

執行摘要: 現今的威脅地景已演進至超越單純的憑證收割。現代的網路釣魚即服務(PaaS)平台如 Kali365,正利用高度複雜的中間人(AiTM)代理伺服器架構,來無縫繞過多因素驗證(MFA)。透過攔截合法的會期(Session)狀態,攻擊者能瞬間從外部執行者轉化為經身分驗證的內部身分,導致傳統的周界控制措施對隨後的利用擴散階段完全失效。

 

第一階段:會期劫持與持久化防禦

Kali365 攻擊行動的真正危害,始於毫無防備的使用者完成看似合法的 Microsoft 365 登入挑戰「之後」。一旦跨越了 MFA 門檻,該犯罪框架便會執行多階段的持久化(Persistence)劇本:

  • 即時會期萃取(turnkey Session Extraction): Kali365 會即時捕獲產生的 OAuth 重新整理權杖(Refresh Tokens)與會期 Cookie。這些憑證會被直接輸送到隨附的桌面工具中,使威脅份子能夠根據需求隨時派生出活躍的瀏覽器會期,而無需觸發全新的身分驗證提示。
  • 濫用自助式密碼重設(SSPR): 憑藉著掌握的作用中會期,攻擊者經常會觸發租戶的 SSPR 工作流。由於既有的會期權杖在密碼變更後依然長期有效,當防禦系統還在因同步延遲而落後時,攻擊者仍能保有長達 24 小時的作用中租戶存取權。
  • 惡意註冊未授權設備: 攻擊者利用合法的會期狀態,直接在 Microsoft 365 租戶中註冊全新的未授權端點。藉由將他們自己的硬體註冊為受管且合規的企業資產,未來的惡意存取將能直接繼承更高基準線的政策信任。

 

第二階段:內部偵察與環境資產發現

一旦鞏固了持久化防禦,Kali365 就會轉化為靜默的資料探勘工具,用以對映目標組織的內部架構與信任關係:

日誌監控盲區: 對企業的資安維運中心(SOC)而言,這種入侵後的資產發現流量與一般員工的日常活動無異,因為它使用的是來自受信任內部網路足跡的合法權權杖。

  • 自動化目錄列舉: 該框架會系統性地搜刮全域通訊錄(GAL),以對映出管理架構、財務審批鏈、關鍵利益關係人以及外部供應鏈合作夥伴。
  • 跨平台資料挖掘: 透過自動化腳本搜刮可存取的 Exchange 信箱、Microsoft Teams 頻道、SharePoint 儲存庫和 OneDrive 分享資料夾,以定位敏感文件與內部通訊模式。
  • 惡意信箱管理: 在執行資產發現的同時,Kali365 會同步建立隱蔽的收件匣規則。凡是包含防禦性詞彙(例如:「資安警報」「未授權登入」「密碼重設」)的入站電子郵件,都會被瞬間路由至隱藏資料夾或直接清除,從而有效地遮蔽受害者,使其對正在發生的侵害毫無察覺。

 

第三階段:惡意利用與橫向特權提升

在對企業生態系統有了深入洞察後,該框架便會觸發具備高衝擊性的變現與特權提升向量:

攻擊向量運作機制維運破壞衝擊
AI 驅動的商業電子郵件詐騙 (BEC)分析歷史「寄件備份」以鏡射使用者的語氣、語法和結構風格。產生極具說服力的 BEC 誘餌,精確鎖定內部員工與供應商進行詐騙。
特權濫用掃描遭入侵身分的存取權限,尋找可觸及的管理員或委派存取路徑。協助對其他帳戶進行密碼重設、停用特定帳戶,並實施局部性的阻斷服務。
租戶配置變更部署惡意的應用程式註冊(Application Registrations)並操縱條件式存取政策。放寬企業的 MFA 強制令,並在雲端基礎設施中建立永久性的程式化後門。

 

防禦姿態轉型:跨越初始點擊的防線

防禦者必須承認,僅僅守住身分驗證邊界已不再足夠。當對手透過合法的代理權權杖進行維運時,若只依賴邊界阻斷或 URL 下架,註定會以失敗收場。資安維運必須轉向主動、激進的內部威脅獵捕,並高度聚焦於驗證後的異常遙測分析。

後續剖析框架預告

本系列技術專題將繼續深入探討以下兩個關鍵領域的威脅矩陣:

  1. 對手的基礎設施: 深入透視 Kali365 營運者如何建立、維護和擴張其基礎設施,以鎖定託管服務供應商(MSP)和企業生態系統。
  2. 偵測與緩解藍圖: 交付實用的威脅獵捕劇本、遙測查詢指令以及政策硬化步驟,旨在隔離權權杖濫用,並揪出已在租戶內部槓桿相同工具和介面進行活動的攻擊者。

關於 Guardz

Guardz 為管理服務提供商 (MSP) 和 IT 專業人士提供一個人工智能驅動的網絡安全平台,專門設計來保護小型企業免受網絡攻擊。我們的統一檢測與響應平台能夠全面保護用戶、電子郵件、設備、雲端目錄和數據。透過簡化網絡安全管理,我們讓企業能夠專注於發展業務,同時減少安全管理的複雜性。Guardz 結合強大的網絡安全技術和豐富的專業知識,確保安全措施持續受到監控、管理和改進,預防未來的攻擊並降低風險。

關於Version 2

Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

ESET 2025年度報告:強勁成長源自於技術領先地位、獨立性和值得信賴的專業能力

布拉提斯拉瓦2026 年 6 月 18 日 — 歐洲最大的網路安全廠商* ESET 今日宣布其 2025 年度的財務與營運成果,展現出持續的增長、強勁的獲利能力,以及在創新與全球擴張方面的持續進展。

ESET 集團報告營收達 7.33 億歐元,年增率為 6%(若按 2025 年固定匯率計算則增長 8%)。稅前息折舊攤銷前獲利(EBITDA)達到 1.05 億歐元,其中企業客戶持續成為推動成長的主力,而消費性產品市場的表現亦超出預期。

清晰的身分認同:獨立性、自主技術與信任

ESET 的亮眼表現根植於其獨樹一幟的網路安全思維。作為一家私有制的歐洲企業,ESET 將獨立性、內部自主技術研發以及長期的專業經驗相結合,在日益複雜的威脅地景中提供可靠的防護。這些特質進一步鞏固了其對法規遵循與可信賴技術研發的承諾。

從偵測引擎、人工智慧(AI)到威脅情資,ESET 的技術堆疊全數為內部自主研發,這讓 ESET 得以完全掌控品質、創新與安全性。此模式不僅能對新興威脅做出更快的反應,更強化了客戶、合作夥伴及公立機構對其的信任。

ESET 執行長 Richard Marko 表示:「快速的技術變革與日益緊張的地緣政治局勢,在 2025 年持續重塑網路安全領域。這些動態變化不僅加速了市場需求,更凸顯了值得信賴且具備獨立性的網路安全供應商有多麼重要。」

企業端擴展驅動業務增長

業務增長主要得益於企業客戶的強勁需求。ESET 亦持續透過 ESET PRIVATE 解決方案推進其客製化產品線,為大型組織、政府單位及關鍵基礎設施營運商交付量身打造的網路安全防護,其範疇涵蓋實體隔離(Air-gapping)、內嵌式掃描、主動式客戶端防護、工業安全,以及包含私有安全維運中心(SOC)服務與客製化顧問諮詢在內的各項服務。此方案結合了先進技術與專業服務,以同時滿足複雜的維運與法規遵循需求。

透過創新與 AI 推进網路安全

在 2025 年,ESET 進一步強化了橫跨企業與消費性領域的產品組合,並高度聚焦於 AI 驅動的安全、自動化與彈性韌性。ESET 在應用 AI 時,強調負責任且具實用性的使用情境,在確保產出可衡量之安全成果的同時,嚴格符合隱私與法規遵循標準。

核心創新亮點包括:

  • 於 ESET PROTECT XDR 中引入 ESET AI Advisor,以簡化安全維運、緩解分析師疲勞,並協助解決資安人才短缺問題
  • 增強對抗勒索軟體的防禦韌性
  • 提供更快速的託管式偵測與回應(MDR)
  • 擴大與 Splunk 和 Wazuh 等主流平台的整合生態系
  • 推出全新的威脅情資資料餵送(Threat Intelligence Feeds),涵蓋勒索軟體、網路釣魚和殭屍網路(Botnets)
  • 消費性產品領域:新增勒索軟體修復、深度網頁檢查(用於進階釣魚偵測),以及路由器等級的 VPN,為整個家庭網路提供延伸防護

深耕歐洲根基,邁向全球擴張

作為一家擁有超過 35 年經驗的歐洲企業,ESET 在擴大全球業務足跡的同時,依然保持著強烈的在地認同。

在 2025 年,該公司透過在哥本哈根成立 ESET Norden 總部,深化了其在北歐地區的市場佈局。這一擴張反映了其將全球視野與在地專業相結合的宏觀戰略,進而與客戶及合作夥伴建立更緊密的關係。

伴隨此次擴張,ESET Cyber Awareness Training(網路安全意識培訓)亦在全球市場全面轉化為服務模式上線,成為提升各地市場網路防禦韌性的核心基石。

研究導向的專業實力與全球影響力

ESET 的研究能力始終是其成功的基石,不僅能洞察演進中的威脅地景,更全方位支援產品研發與全球網路安全反制行動。

在 2025 年,ESET 研究人員貢獻了多項重大發現,包括:

除學術研究外,ESET 亦積極與歐洲刑警組織(Europol)及歐洲網路資安局(ENISA)等國際組織密切合作,共同打擊網路犯罪並強化全球資安韌性。

權威認可與效能驗證

ESET 的技術與專業實力在 2025 年持續獲得獨立測試機構與行業分析師的高度肯定,其中包括:

  • ESET HOME Security Essential 榮獲 AV-Comparatives 2024 年度最佳產品(Product of the Year)
  • ESET HOME Security 在 2025 年 IDC MarketScape:《全球消費性數位生活防護報告》中被評選為「領導者(Leader)」
  • ESET 在 MITRE ATT&CK® 評測中表現優異,達到 100% 的防護率
  • ESET 榮獲多項 AV-Comparatives 頒發的 EPR(端點預防與回應)、EDR 及企業安全獎項
  • ESET 榮獲 2025 年 SC Award 勒索軟體修復(Ransomware Remediation)大獎

這些成果再次鞏固了 ESET 作為高品質網路安全解決方案信賴供應商的地位。

以專業人才為本的彈性組織

ESET 的長期成功仰賴於其人才。公司受益於極高的人才持續性,有很大比例的專家在公司服務超過十年以上——這在面臨全球人才荒的資安產業中是一項巨大的競爭優勢。

這種穩定性與其獨立性及自主研發能力相結合,使 ESET 能夠維持不間斷的創新並交付長期價值。

展望未來

在 2025 年,ESET 持續強化其作為技術導向型網路安全公司的地位,將 AI、人類專家經驗與全球威脅情資完美融為一體,在這個日益由 AI 驅動的世界中,交付具備彈性韌性、迎向未來的解決方案。

公司將繼續致力於保護全球的企業與個人,同時為建構一個更安全、更可信賴的數位環境做出貢獻。

欲了解更多資訊,請參閱完整的

ESET 2025 年度報告

*根據 Frost Radar™: Endpoint Security, 2025 (Frost & Sullivan) 報告指出,ESET 是總部設立於歐洲的最大全球網路安全供應商。

 

關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。

關於Version 2

Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

×

Hello!

Click one of our contacts below to chat on WhatsApp

×