隨著各家企業注重資安防護，在內部建立許多主機與網路的防護網，關貿網路資安團隊發現多起駭客轉而利用難以防守、以人性弱點為攻擊重點的社交工程，做為入侵企業內部的開端，讓受害企業在不知不覺的情況下，被攻擊者潛入內部佔用或是竊取企業資源。

        處理過數起類似案例的關貿網路資安團隊表示，往往受害企業發現時，攻擊者多已入侵至伺服器區，感染多台伺服器或是幾乎影響正常對外營運。其中一起特別嚴重的案例是該企業資訊同仁發現伺服器運作緩慢且無法緩解其現象，懷疑可能是遭到駭客的入侵或是中毒，特別請關貿的資安顧問到場調查。資安顧問針對問題主機分析其記錄檔、執行主機惡意程式檢測與數位鑑識後，發現主機被植入門羅幣(Monero)挖礦腳本，進一步調查整個環境後，發現攻擊者一開始是透過社交郵件取得企業內部辦公區權限，而後遊走於辦公區蒐集資訊，取得內部AD(Active Directory)的管理者權限，利用其高權限遊走於伺服器區探索主機蒐集資訊，最後利用有高網路存取權限的WSUS主機作為內部中繼站，透過WSUS對內大量撒挖礦機腳本至所有主機，同時對外進行連線獲取門羅幣。

        關貿資安團隊表示在資安事故處理時，除了調查問題主機外，同時也會蒐集資訊掌握整個攻擊事件的根因，並協助採集樣本進行分析與處理，後續再深入調查攻擊者的進入點，提供架構強化與監控措施建議。在這樣的事件中，可以發現兩個特點，一是攻擊者使用難以防範的以人性為主的社交工程作為進入點，攻入企業內部;二本次攻擊是以佔用企業資源為目的所進行的攻擊。因門羅幣本身是利用區塊鏈運算原理，進行發放的虛擬貨幣，獲得門羅幣的其中一個方式，是提供運算資源供門羅幣演算法進行計算，就是俗稱的挖礦，但要做到這點需要許多龐大的資源，例如要有穩定高效能的伺服器群、網路頻寬等，相關的成本著實不小。加上資安意識高漲，各企業於主機與網路層面多半擁有許多資安防護。故攻擊者改以利用社交工程中的釣魚郵件，以客製化的信件內容，來誘導企業員工或主管點擊下載惡意程式，同時瞄準企業擁有穩定的伺服器主機以及廣大頻寬的特性，讓受害企業在不知情的情況下，讓企業主機被攻擊者利用作為雲端挖礦機，進行挖礦藉獲取大量門羅幣，大做低成本高報酬利潤的地下生意。

        關貿資安團隊認為，現在的新形態資安攻擊，不再是傳統的單一防禦模式就能夠有效阻擋，以本次資安事故為例，企業端除了主機的防毒與資安端點防護、網路的流量與行為監控防護外，建議須搭配檔案即時分析，檢視內網檔案是否存在惡意程式，以及7x24小時資安顧問團隊提供的SOC監控，結合主機、網路以及檔案的全面分析，讓業主即時了解企業內部安全情況，同時定期進行社交工程演練提升人員層面的資安防護能力。建議企業可找有信譽、有專業資安顧問的整合服務商也就是專業的藍隊(Blue Team)，依據公司狀況與面對的威脅，採取對應的防禦與控制措施，才能防止和解決日益複雜的資安問題。