黑客在间谍行动中瞄准全球证券交易所

黑客成功入侵了一家全球大型证券交易所高级管理人员的电子邮件账户，并在此后数月内持续窃取数据。

这起攻击由 Broadcom 旗下的 Symantec 和 Carbon Black 威胁追踪团队进行调查。攻击始于 2025 年 10 月，威胁行为者直至 2026 年 3 月仍保留着对被入侵 Outlook 邮箱的访问权限。安全专家估计，其驻留时间约为 150 天。

此次行动的目的极有可能是间谍活动，但 Symantec 和 Carbon Black 并未透露攻击背后可能的人员信息，也没有说明是哪家证券交易所遭到了攻击。

研究人员表示：「对于间谍活动而言，高级管理人员的邮箱是极具价值的情报目标。一个 Outlook 账户可能泄露外部谈判、内部决策、该高管的日程安排、出行模式以及其联系人的详细信息。」

他们补充道：「交易所和监管机构等组织可能掌握着关于上市信息、执法行动以及影响市场动向事件的非公开信息。攻击者长达数月不受限制地访问该邮箱，无需在网络中横向移动，就能近乎完整地描绘出目标的工作生活以及该组织的近期发展方向。」

初始访问途径尚不清楚，但首次发现恶意活动迹象是在 2025 年 10 月 10 日，当时恶意软件已在该被入侵主机上运行，并伪装成 Adobe 和 OneDrive 应用程序。

命令与控制（C&C）通道于 11 月 12 日建立，攻击者同时开始收集并窃取数据。

为免引起怀疑，攻击者使用 Dropbox 和 OneDrive 外传文件，并且每次仅传输少量数据。

研究人员解释说：「在观察到的五个月时间内，累积效果是用户 Outlook 邮箱中的内容被完全、近乎持续地窃取，数据被拆分成递增的小型归档文件，其大小不足以引起安全软件的警觉。」

攻击者持续进行权限维持工作，定期重新注册伪装成 Adobe、Lenovo 和 OneDrive 系统服务的任务，以保持访问权限。

Symantec 和 Carbon Black 已公开入侵威胁指标（IoCs），以帮助其他组织检测潜在的攻击。