根據思科Talos的數據，網路釣魚攻擊在2026年第一季再次成為攻擊者入侵組織機構的主要手段，佔所有可確定初始存取權限的攻擊案例的三分之一以上。這是自2025年第二季以來，網路釣魚攻擊首次再次佔據主導地位。 2025年第二季度，由於針對本地部署的微軟SharePoint伺服器的大規模攻擊，利用面向公眾的應用程式進行攻擊的手段佔據了主導地位。

那波 SharePoint 漏洞利用浪潮（統稱為 ToolShell）將面向大眾的應用程式漏洞利用率推高至 62% 的高峰。到 2026 年第一季度，這一比例下降至 18%，Talos 將此歸因於緊急修補程式的廣泛普及和檢測覆蓋範圍的擴大。

用於建立憑證收集頁面的人工智慧工具

本季發生的一起網路釣魚事件採用了Talos先前在其案例中未曾記錄過的技術。攻擊者利用Softr（一個由人工智慧驅動的網路應用程式開發平台）針對一個公共管理機構，建立了一個模仿Microsoft Exchange和Outlook Web Access登入介面的憑證竊取頁面。該頁面使用表單範本和Vibe編碼功能構建，無需任何自訂程式碼。

Softr 頁面可以將捕獲的資料傳送到外部儲存體（例如 Google Sheets），並在有新條目時觸發電子郵件提醒，而且無需編寫任何程式碼。 Talos 根據 Cisco Umbrella 數據和其他遙測數據，有一定把握認為惡意行為者至少從 2023 年 5 月起就已利用 Softr 平台進行類似活動，並且使用量隨時間推移而增加。

有研究發現，國家支持的犯罪集團和網路犯罪集團利用大型語言模型開發釣魚誘餌和惡意腳本。 DDoS 即服務業者也採用了人工智慧演算法來編排攻擊。 Softr 事件是 Talos 首次記錄到在已確認的釣魚攻擊中使用特定人工智慧工具。

公共行政部門連續第三個季度成為重點關注對象

公共管理和醫療保健產業各佔所有攻擊事件的24%，並列成為攻擊目標最多的產業。自2025年第三季以來，公共管理業一直位居榜首。該行業的機構通常運行著老舊系統，安全預算有限，處理敏感數據，並且對停機時間容忍度很低，這使得它們對以經濟利益為目的的攻擊者和以間諜活動為目標的組織都極具吸引力。

Crimson Collective首次出現在Talos案件中

Talos 首次應對了與Crimson Collective 的衝突，這是一個於 2025 年 9 月出現的網路勒索組織。事件起因是 GitHub 個人存取令牌意外發佈在面向公眾的網站上，導致該組織暴露了數月之久。

攻擊者取得存取權限後，使用合法的開源密鑰掃描工具TruffleHog，搜尋了數千個 GitHub 程式碼庫，以查找憑證和敏感資料。發現的客戶端金鑰使攻擊者能夠存取受害者的 Azure 雲端存儲，並利用 Microsoft Graph API 呼叫進行驗證、枚舉和資料竊取。攻擊者還試圖向多個 GitHub 程式碼庫注入惡意程式碼，以竊取未來提交的任何金鑰。由於密鑰已過期且存在安全控制措施，損失有限。

Talos 根據與 Crimson Collective 關聯的 IP 位址（這些位址用於掃描受害者的 ASA 防火牆）以及與公開報告的 Crimson Collective 的策略和技術的重疊情況，將此次活動歸因於 Crimson Collective。

多因素身份驗證的缺陷仍然是最大的安全漏洞

本季度，多因素身份驗證 (MFA) 漏洞在 35% 的攻擊事件中出現，高於上一季。攻擊者透過將新裝置註冊到被盜帳戶來繞過 MFA，甚至在某個案例中，他們配置 Outlook 用戶端直接連接到 Exchange 伺服器，完全規避了 Duo MFA 的要求。

在 25% 的案例中發現了易受攻擊或暴露的基礎設施。被利用的漏洞包括Cisco 安全電子郵件閘道中的CVE-2025-20393和 Cisco IOS XE 中的CVE-2023-20198，以及可從網際網路存取的暴露的 WinRM 管理連接埠。

日誌記錄不足影響了 18% 的調查工作，限制了調查人員重現攻擊者活動的能力。 Talos 建議部署 SIEM 系統進行集中式日誌存儲，以便即使在單一主機上刪除或修改了日誌，也能用於取證審查。

勒索軟體攻擊前的活動佔總攻擊次數的 18%。由於早期遏制，本季未發生勒索軟體加密事件。 Talos 有中等程度的把握評估認為，Rhysida 和 MoneyMessage 勒索軟體參與了其中兩次攻擊。

資料來源：https://www.helpnetsecurity.com/2026/04/22/cisco-phishing-initial-access-2026/