全球500强企业的CFO们最近收到一封邮件,发件人显示是董事会秘书,主题是"Q3财报-仅限高管查阅"。邮件里有个二维码,扫完47秒后,他们的微软账户出现在越南某台服务器上。
这是安全公司Abnormal最新披露的VENOM钓鱼攻击。攻击者不再广撒网,而是像猎头挖人一样,精准锁定目标高管的姓名、职位、甚至近期参加的会议。整个攻击链条被封装成一个从未公开过的钓鱼工具包,带授权验证、令牌管理、战役面板—— phishing(网络钓鱼)已经SaaS化了。
工具包的"产品经理思维"
Abnormal的研究人员拆解VENOM后发现,它的设计逻辑很像一款正经的企业软件。有许可证激活机制,防止买家转卖;有结构化的令牌存储, stolen session(被盗会话)像库存一样被分类管理;还有完整的 campaign management(战役管理)界面,攻击者可以像看销售漏斗一样追踪"转化率"。
这个工具包至今未出现在任何公开威胁情报库,暗网论坛也没有流通记录。Abnormal判断它通过"邀请制"分发,买家需要被审核资质——黑产也在搞私域运营。
攻击者选择SharePoint作为伪装主题,是因为企业高管确实每天收这类通知。邮件正文通常写着"您已被授予查看权限",附带的二维码指向伪造的微软登录页。页面会实时抓取目标公司的真实Logo和配色,甚至预填受害者的邮箱地址,降低操作摩擦。
二维码的构造尤其精细。普通钓鱼邮件直接插入图片,容易被邮件安全网关识别。VENOM用Unicode方块字符从零绘制二维码,对安全系统来说,这只是一堆文字。
2FA不是护身符
传统认知里,开启双因素认证(2FA)就能挡住大部分钓鱼。VENOM的设计直接针对这个心理盲区。
伪造的登录页会正常弹出2FA输入框。受害者输入短信验证码后,攻击者的后台实时收到这个码,并立即用它完成真实的微软账户登录。整个劫持过程在验证码过期前完成,受害者看到的只是"登录成功"或一个无关紧要的跳转页面。
Abnormal监测到的一次攻击中,某科技公司CFO在收到邮件后3分钟内完成扫码、输密码、填验证码。第47秒,攻击者已获得该账户的完整会话令牌,可以绕过所有后续验证直接访问邮箱、OneDrive、Teams聊天记录。
这种"实时中间人"手法不新,但VENOM把它做成了流水线。工具包内置的 session hijacking(会话劫持)模块会自动提取Cookie,分类存储到不同"项目"下,方便下游买家按权限等级转卖或利用。
为什么高管成了"大客户"
攻击者的目标选择逻辑很清晰:高管账户的ROI(投资回报率)远高于普通员工。
一个CFO的邮箱里可能有未公开的并购谈判、财报草稿、董事会决议。Teams聊天记录里可能有CEO随口说的战略调整。这些信息的变现路径多样:提前建仓股票、勒索公司、卖给竞争对手、或者用来制作更逼真的二次钓鱼。
Abnormal发现,VENOM运营者会花数周研究目标。他们购买商业数据库获取高管履历,监控LinkedIn动态,甚至分析公司新闻稿里的措辞习惯。邮件里的"董事会秘书"签名,可能和上周财报电话会议上的真实签名一模一样。
这种精准度让传统邮件过滤规则失效。邮件来自被劫持的真实供应商账户,内容没有拼写错误,链接指向刚注册的高仿域名(如micros0ft-sharepoint.com),SSL证书齐全。
更棘手的是,高管们通常有"特权心态"——IT安全政策是管员工的,我是决策者,我可以例外。某次事件响应中,安全团队发现受害CFO连续三个月忽略强制密码重置提醒,理由是"太忙了"。
防御方的被动局面
企业安全团队面对VENOM这类攻击,现有工具链存在结构性盲区。
邮件安全网关依赖特征检测:发件人信誉、链接黑名单、附件哈希。但VENOM的每封邮件都是"手工定制",域名刚注册、二维码是文字拼的、没有附件。Abnormal的测试显示,主流网关对这类邮件的检出率低于15%。
终端检测(EDR)理论上能发现异常登录,但高管常用多台设备、频繁出差、VPN跳转,基线很难建立。某案例中,攻击者从越南IP登录后,立即触发"我出差了"的自动回复——这个细节让安全运营中心误判为正常行为。
安全意识培训的效果也有限。模拟钓鱼测试通常用"中奖通知""快递异常"等低级诱饵,高管们轻松识破后形成虚假安全感。真正的VENOM邮件看起来比培训用的假邮件更真实。
Abnormal建议的缓解措施包括:为高管账户强制启用FIDO2硬件密钥(无法被实时钓鱼窃取)、限制敏感邮箱的异地登录、对SharePoint通知启用二次确认。但这些措施都涉及"给老板添麻烦",推行阻力极大。
黑产的"产品迭代"速度
VENOM的出现反映了一个更宏观的趋势:网络攻击的工业化程度在加速。
五年前的钓鱼工具是GitHub上的开源脚本,需要攻击者自己租服务器、配数据库、写前端。现在的VENOM提供一站式解决方案,甚至考虑到了"客户成功"——工具包内置A/B测试功能,攻击者可以对比不同邮件主题的开信率。
这种专业化分工让攻击门槛骤降。技术能力一般的"运营者"购买VENOM授权后,只需专注做"用户研究":挖高管信息、写定制化话术。基础设施、反检测、会话管理都由工具包解决。
Abnormal注意到,VENOM的更新频率约为每两周一次。某次更新专门优化了移动端体验——因为高管们 increasingly(越来越多地)在手机上处理邮件。另一次更新增加了对微软Authenticator推送通知的模拟,受害者点击"批准"即可被劫持,连验证码都不用输。
安全研究的滞后性让防御始终慢半拍。VENOM至少活跃了8个月才被Abnormal捕获样本,期间已有多少企业受害、数据流向何处,目前无从得知。
微软在回应TechRadar Pro询问时表示,已更新Defender for Office 365的检测规则,建议用户启用"首次联系安全提示"功能——当收到来自外部的新发件人邮件时,系统会显示警告横幅。但该功能默认关闭,且高管们常抱怨"影响效率"要求豁免。
某受害企业的CISO在事件复盘会上说了一句话,被Abnormal记录在报告中:「我们防住了99%的攻击,但对手只需要1%的成功率。」这句话现在写进了VENOM运营者的宣传材料里,作为产品效果的背书。
你的公司给高管开安全培训会吗?还是默认"他们太忙了,不用参加"?
热门跟贴