2026年3月30日,安全研究员@JAMESWT_WT在X上随手发了一条警告。一张伪装成波音公司采购单的Word文档,正在全球工业供应商的邮箱里流转。没人想到,这个看似普通的钓鱼邮件,背后是一套精心设计的六层攻击链——从DOCX到RTF,从JavaScript到Python,最终把Cobalt Strike(一款后渗透测试工具)送进内存,全程不落硬盘。
48小时内,MalwareBazaar上出现了同一批次的多个样本。4月1日,三个不同版本的诱饵文档被确认,文档元数据、加密密钥、攻击结构完全一致。这不是孤例,是一场正在扩张的精准狩猎。
BreakglassIntelligence团队还原了完整攻击路径。攻击者把合法工具串成了武器链:Word文档、PowerShell脚本、带签名的Python二进制文件,再加上微软信任的LOLBin(Living Off The Land Binaries,指系统自带可被滥用的程序)。传统终端安全几乎无法识别这种"白加白"的组合拳。
第一层:被忽视的DOCX陷阱
受害者收到的邮件来自"Joyce Malave from BOEING"或"Global Services, LLC"。主题很直接:大批量询价,请报最优价。附件有三个变种——Rfq and Payment Schedule.docx、Product_specifications.docx、RFQ_PO_ATR29026II.docx。
打开文档的瞬间,攻击开始。Word的关系文件里藏着一个aFChunk引用,这个2017年就存在的技术,能强制Word静默加载内嵌的RTF文件。讽刺的是,大多数邮件安全网关只扫描DOCX的ZIP表层,从不追踪内嵌的RTF链接。
更耐人寻味的是文档本身。基础模板创建于2021年4月,直到2026年1月才被武器化——中间隔了将近五年。作者元数据原封不动,从未清理。攻击者似乎很擅长从旧物里翻出新用途。
中间层:从RTF到Python的变形之路
RTF文件里藏着十六进制编码的JavaScript。执行后,PowerShell登场,负责部署完整的Python 3.12运行时环境。这一步很讲究:用带合法签名的Python解释器,规避对未知可执行文件的告警。
Python随后加载一个经过AES-256加密的DLL,采用反射式加载(reflective loading)——直接注入内存,不经过常规的磁盘写入。最终阶段,Cobalt Strike在内存中运行,攻击者获得对受害机器的完全交互式控制。
整个链条用了六种文件格式和脚本语言,每个环节都是"合法"的。DOCX是办公文档,RTF是兼容格式,JavaScript和PowerShell是系统原生支持,Python是开发者工具,DLL反射加载是高级红队技术。单独看任何一环,都很难触发告警。
目标与痕迹:谁在狩猎供应链
攻击者的目标很明确:采购和销售岗位。这些人每天处理大量外部邮件和报价单,对"波音RFQ"这类标题缺乏警惕。一旦单点突破,Cobalt Strike的横向移动能力可以迅速蔓延至整个企业网络。
意大利组织被确认为次要目标。22个关联恶意样本已被追踪确认,截至报告发布时,至少有一个实时载荷投递URL仍在活跃。
这场战役的代号是NKFZ5966PURCHASE——来自其中一个诱饵文档的文件名。安全社区用这个名字标记了2026年开年以来最复杂的供应链钓鱼攻击之一。
防御者的困境
传统安全产品的设计逻辑是"识别坏文件"。但这场攻击没有传统意义上的"坏文件"——只有被滥用的好工具。DOCX是员工日常处理的格式,PowerShell是IT管理的标配,Python是开发环境的常见组件。
检测难点在于行为链的完整性。单独拦截任何一个阶段,攻击者都可以快速变种替换。只有持续监控进程行为、内存加载和网络连接,才能在最终载荷执行前发现异常。
BreakglassIntelligence分析师指出,这种"全内存驻留"的攻击方式正在变得普遍。攻击者越来越倾向于避免磁盘落盘,以规避基于文件扫描的EDR(端点检测与响应)产品。
一个值得注意的细节:攻击链中使用的Python 3.12是2023年底发布的版本。攻击者没有用过时组件凑数,而是保持了工具链的更新。这种维护成本暗示着背后有持续投入的资源。
波音公司尚未就此次冒名攻击公开置评。对于收到类似RFQ邮件的供应链企业,现在最紧迫的问题是:你的邮件网关会深入扫描DOCX的内部结构吗?你的终端防护能识别内存中的Python进程异常行为吗?还是也在等一个像@JAMESWT_WT这样的外部研究者,在攻击扩散后才被动知晓?
热门跟贴