英國国家網絡安全中心（NCSC），直屬 GCHQ，公開揭露名為「Authentic Antics」的高度隱蔽式惡意軟體，攻擊目標為 Microsoft 365 平台的使用者憑證與 OAuth 2.0 權杖。NCSC 將此攻擊明確歸因為 GRU 的攻擊組織 APT28（別名 Fancy Bear、Pawn Storm 等）。報導指出，這款惡意軟體從 2023 年起即在使用者端 Outlook 進行活動，通過注入偽造的 Microsoft 登入提示窗，竊取帳號密碼和授權資訊。

 

技術分析

1. 滲透方式：Authentic Antics 通常由 Dropper（載入器）建立惡意環境，部署 Info‑stealer 和 PowerShell 腳本。其透明度極高，不與惡意伺服器通訊，而是透過被害者的 Outlook 帳戶發送竊取的資料，並關閉「儲存寄件備份」以隱藏痕跡。
2. 偽造登入提示：攻擊會在受害者使用 Outlook 時觸發多次 Microsoft 登入視窗，導向由駭客控制的偽造域名或網頁伺服器。在使用者輸入時，惡意程式成功捕捉帳號與 OAuth 權杖，並初始化後續攻擊流程。
3. 潛伏與持續性：NCSC 表示，Authentic Antics 在受害者系統中留下極少足跡：僅少量檔案存在，主要透過 Windows 註冊表儲存設定，並隱匿其通訊行為，難以被傳統防毒或 EDR（終端檢測與回應）機制察覺。
4. 資料外洩管道：不同於常見 C2 伺服器溝通方式，攻擊者直接利用被害者 Outlook 帳號作為資料傳送載體（exfiltration channel），透過寄送電子郵件方式，掩埋於正常使用的環境流量中。

 

威脅評估

1. 高度隱蔽性：通訊採用合法平台（Outlook），且不與 C2 互動，令偵測難度大幅提升。
2. 資訊竊取後續可用性：獲取 OAuth 權杖後，可長時間存取 Exchange、OneDrive、SharePoint 等資源。
3. 政治與安全風險升級：正值歐洲安全緊張時局，揭露此事件強化英國防禦意識，也透過制裁向俄施壓。

 

防禦建議

1. 多層驗證機制：除密碼和 OAuth 權杖外，應採用實體硬體安全金鑰（如 FIDO2）與 MFA 強化登入安全。
2. 異常行為監控：EDR 和 CASB（雲端應用安全代理）應即時偵測大量 Outlook 發送行為及非預期登入視窗觸發。
3. 釣魚防範教育：使用者應警覺任何非預期的登入提示，并逐步建立「先停、再查證」的操作習慣。
4. 電郵外寄策略控管：可限制使用者的自動轉信或寄信至外部網域，特別是使用者帳號大量短時間寄件行為需異常警示與封鎖。
5. 安全更新與防毒：定期更新 Windows、Outlook 與 Office 平台，並部署具行為分析能力的資安工具。