网络犯罪团伙通过入侵一名新销售员工的个人电子邮件地址获得了访问权限，随后利用其个人信息冒充XXX公司员工并完成了员工入职流程中的初始步骤。

    我们调查了公司安全信息与事件管理（SIEM）中的告警，并封锁了被攻击的账户。我们立即启动了与领先服务提供商的事故响应保障，并聘请第三方监测、检测和响应（MDR）提供商来管理事故响应工作。我们有信心，多层次的安全控制防止威胁行为者实现他们认为是主要目标——发起勒索软件攻击。他们也无法进行横向移动、升级权限、建立持久访问或对基础设施进行任何更改。

    该犯罪集团的一个已知TTP是部署勒索软件。在他们未能控制XXX公司系统并部署勒索软件后，他们转而试图勒索XXX公司以避免公开披露。以下是发送给XXX公司高管的各种消息示例。

    下一个活动是扩大策略，包括涉及家庭成员和联系人的参考。

    网络犯罪分子的文本表明他们对家庭细节进行了调查，因为他们知道XXX公司高管家庭成员的姓名，这是一种已知的TTP。然而，他们为这些家庭成员引用了虚构的电子邮件地址。此外，在此期间，网络犯罪分子通过个人电子邮件联系了XXX公司公司的高级雇员。

    为了响应此事件，我们添加了一个额外的验证步骤，以进一步加强我们的入职流程并确保不会重复使用此技术。

笔者几点思考：

1.这次事件也从侧面证明了，数据泄露非常严重（包括手机号、社交号、证件照/号、家庭、工作地址、社会关系等等等）。未来，物理世界和数字世界的威胁将深度融合，比如威胁行为体可能直接找上门。

2.威胁行为体对目标实体进行了深入的研究，美国国家安全局（NSA）“特定入侵行动办公室”（Office of Tailored Access Operation，简称TAO）负责人罗伯特·乔伊斯（Robert Edward Joyce）有一个“著名的论断” - “在许多情况下，我们比设计和运行它们的人更了解网络。”。

“为了第一次破解，我们会四处寻找（方法）。”2016年，乔伊斯曾在Usenix Enigma会议上公开露面，解释破解目标的关键是找到薄弱环节。“它（TAO）被称为高级持续威胁是有原因的，我们会不停地尝试、试探，直到最终进入（目标）。”

　　“如果你真的想保护你的网络，那你就必须了解它，包括其中的所有设备和技术，”他说，“在许多情况下，我们比设计和运行它们的人更了解网络。”

以下资料来源：央视新闻。

美国国家安全局（NSA）“特定入侵行动办公室”（Office of Tailored Access Operation，简称TAO）

“特定入侵行动办公室”是NSA的网络战情报收集单位。据美国中央情报局第18任局长迈克尔·海登的说法，它从1998年开始活跃，但直到“2000年的最后几天”才被命名为TAO。TAO的工作人员由军事和民用计算机黑客、情报分析师、计算机硬件和软件设计师以及电气工程师组成，实行每天24小时轮班制，每周工作7天。

一位前NSA官员在接受《外交政策》杂志采访时表示，TAO的任务很“单纯”，就是秘密入侵国外目标计算机和电信系统、破解密码、破坏目标计算机的安全系统、窃取存储数据、复制所有目标电子邮件和文本信息系统中的消息和数据等。

TAO拥有自己的小型秘密情报收集单位，被称为“Access Technologies Operations Branch”，其中包括由美国中央情报局（CIA）和联邦调查局（FBI）的借调人员，执行所谓的“网外行动”。

自成立以来，TAO因向美国情报界提供了一些绝密情报而享有盛名，这些情报涉及各种恐怖组织、外国政府针对美国的间谍活动、弹道导弹和全球大规模杀伤性武器的发展，以及全球最新的政治、军事和经济信息等。

专门研究NSA的历史学家Matthew Aid在接受德国《明镜周刊》采访时说，“得到难以获取的东西”是NSA对其TAO职责的定位。

经过长达20余年的运作，目前TAO已成为美国政府内专门从事对他国大规模网络攻击窃密活动的战术实施单位，团队壮大至2000多人。其力量部署主要依托NSA在美国和欧洲的各密码中心，目前已有六个密码中心被公布。