北京
你收到一封行業峰會的參會邀請,鏈接指向一個看起來很正規的注冊頁面。輸入郵箱密碼后,頁面提示驗證碼已發送——這其實是攻擊者在實時竊取你的二次驗證密碼。三十秒后,你的電腦后臺靜默安裝了一款IT管理工具,而安全團隊對此一無所知。
這不是假設場景。ANY.RUN安全團隊近期追蹤到一場針對美國機構的大規模釣魚行動,攻擊者用偽造活動邀請作為誘餌,已滲透銀行、政府、科技、醫療等核心領域。
攻擊設計:為什么這次更難防
傳統釣魚往往止步于騙取賬號密碼。這次不同。
攻擊者構建了三層遞進機制:先盜憑證,再截驗證碼,最后植入遠程管理工具(RMM)。每一層都利用企業現有的安全盲區,而非硬碰硬突破防線。
第一層釣魚頁面經過精心偽裝,域名和視覺設計高度模仿可信商業網站。ANY.RUN分析師發現,部分頁面存在AI輔助生成的痕跡——攻擊者正用自動化工具批量生產 convincing 內容,快速輪換被標記的域名。
更隱蔽的是代碼層面:頁面嵌入了成熟釣魚工具包的復用組件。這讓攻擊者能像流水線一樣搭建新站點,基礎設施被查封后幾小時內就能重建。
第二層針對雙因素認證(2FA)。當受害者在釣魚頁輸入密碼后,攻擊者實時觸發目標系統的真實登錄流程,將OTP請求轉發給受害者。用戶收到的驗證碼短信確實來自自己公司的服務器,只是被中間人截獲。
第三層才是殺招。獲取完整訪問權限后,攻擊者在后臺安裝ScreenConnect、ITarian、Datto RMM等工具——這些都是IT部門日常使用的正規軟件。
安全過濾器通常不會攔截RMM工具,其網絡行為與正常運維活動高度相似。攻擊者借此獲得長期潛伏能力,在系統內停留數周甚至數月而不觸發告警。
正方觀點:這是企業安全架構的系統性潰敗
支持這一判斷的證據很直接:攻擊者并未使用零日漏洞或高級惡意軟件,而是組合運用已有技術,針對的是現有防御體系的結構性弱點。
RMM工具的濫用尤其說明問題。這些軟件的設計初衷是簡化遠程運維,卻成為攻擊者的完美藏身所。企業采購了工具,卻沒有建立相應的使用審計和異常檢測機制——相當于給每個房間配了鑰匙,卻沒人記錄誰開了哪扇門。
AI輔助內容生成則降低了攻擊門檻。過去需要專業寫手打磨的釣魚文案,現在可以批量產出,針對特定行業定制誘餌的成本趨近于零。這意味著攻擊面從"高價值目標"擴展到"所有目標",防御方的篩選壓力陡增。
更深層的漏洞在于身份驗證流程本身。OTP作為二次驗證手段,依賴的是"用戶持有設備"這一假設。但釣魚攻擊將驗證環節劫持到攻擊者控制的環境,設備歸屬的驗證邏輯被繞過。這不是實現細節的問題,是協議設計層面的缺陷。
反方觀點:這不過是經典手法的包裝升級,防御方并非無計可施
另一種解讀認為,此次行動的"創新性"被過度渲染。
多層攻擊鏈并非新發明。憑證竊取+會話劫持+RMM植入的組合,在APT攻擊和勒索軟件運營中已出現多年。所謂"AI輔助生成",目前僅體現為頁面文案的自動化,尚未涉及深度偽造視頻或語音等更難辨識的形態。
RMM工具的濫用同樣早有先例。2023年FBI就曾警告過合法遠程訪問軟件被惡意利用的趨勢。防御難點不在于技術原理未知,而在于運營層面的執行:企業明知需要監控RMM使用,卻因IT運維的靈活性需求而難以落實嚴格策略。
更關鍵的是,此次攻擊的每個環節都存在可攔截點。釣魚郵件可通過郵件網關的URL重寫和沙箱檢測過濾;CAPTCHA頁面作為攻擊鏈的入口,其域名特征可被威脅情報識別;RMM工具的異常安裝時序(非標準IT流程時段、非授權賬戶執行)可通過端點檢測發現。
攻擊者之所以得手,更多是因為目標組織的防御層未完整部署,而非技術不可防御。將責任歸于"系統性潰敗",可能掩蓋了更務實的改進空間。
我的判斷:攻擊者的"平庸之惡"恰恰是最危險的信號
兩種觀點都有道理,但第二種解讀低估了這次行動的結構性意義。
確實,技術層面沒有突破。但"沒有突破"本身就是關鍵變化——攻擊者不再需要突破。
AI輔助內容生成將釣魚頁面的制作成本壓到極低,使得"針對特定行業定制誘餌"從精英攻擊者的專屬能力,變成可批量復制的標準操作。ANY.RUN觀察到的"快速輪換域名"能力,意味著傳統基于黑名單的防御模式正在失效:你封掉一個,攻擊者已經準備了十個。
RMM工具的濫用則揭示了一個更深層的問題:企業安全架構與IT運維架構之間存在根本張力。RMM是運維效率的必需品,卻成為安全監控的盲區。這不是某個企業的疏忽,是行業性的設計困境。攻擊者選擇這條路徑,說明他們已經摸清了防御方的組織軟肋。
最值得關注的是攻擊目標的選取邏輯。銀行、政府、科技、醫療——這些 sector 的共同點是監管嚴格、安全投入充足、傳統防御相對完善。攻擊者沒有避開硬骨頭,而是用"足夠好"的技術組合去啃。這傳遞的信號是:當前主流的安全投入產出比正在惡化,花大錢買的高級方案,擋不住低成本的手藝活。
這次行動的真正創新不在技術,而在商業模式:用工業化流程生產定制化攻擊,用合法工具實現持久潛伏,用防御方的運營慣性換取自己的操作空間。
企業該做什么:三個可落地的檢查點
基于ANY.RUN披露的完整攻擊鏈,以下措施可直接針對暴露的弱點:
第一,郵件網關層面增加"活動邀請"類郵件的URL沙箱延遲解析。釣魚攻擊的時間窗口往往只有幾小時,延遲訪問可讓威脅情報追上攻擊節奏。
第二,身份驗證流程引入設備綁定驗證,而非僅依賴OTP。FIDO2/WebAuthn等標準已成熟,能消除中間人劫持驗證碼的攻擊路徑。
第三,RMM工具實施"安裝白名單+使用時序審計"。記錄哪些賬戶、在什么時段、通過什么渠道部署了遠程管理工具,異常模式自動告警。
這些措施都不涉及采購新類別安全產品,而是對現有能力的配置優化。攻擊者的優勢在于自動化和規模化,防御方的回應應該是減少單點依賴、增加攻擊者的協調成本。
如果你所在的企業使用RMM工具,建議本周就檢查一次最近三個月的安裝日志——攻擊者可能已經在里面了,只是還沒動靜。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
