你公司的服务器可能正在被"试钥匙"。一家埃及航空公司的护照信息、工资单、信用卡数据已经躺在黑客的文件夹里——而攻击者早在动手前,用两个月时间扫描了超过12000台暴露在互联网上的系统。

这不是电影,是2025年2月真实发生的网络战预演

打开网易新闻 查看精彩图片

Oasis Security的研究团队最近披露了一起精心策划的攻击行动。手法之老练,让他们直接联想到了MuddyWater——那个与伊朗情报部门有关联、活跃十余年的老牌黑客组织。

但更让人警觉的是攻击节奏:先广撒网,再精准收割。这种"扫描-筛选-突破-窃取"的四段式流程,把漏洞利用变成了工业化流水线。

我们先看这张攻击全景图,再逐层拆解它暴露的安全行业痛点。

第一阶段:五把新钥匙,开一万两千扇门

攻击者今年2月初启动行动,时机选得微妙——恰逢中东地缘政治紧张局势升级的前几周。

他们没有直奔目标,而是先搞"基础设施普查"。武器库里有五枚刚公开的漏洞(CVE),全是2025年新鲜出炉:

• Laravel Livewire远程代码执行(CVE-2025-54068)
• SmarterMail邮件服务器漏洞(CVE-2025-52691)
• n8n自动化工具后门(CVE-2025-68613)
• 远程监控管理系统会话劫持(CVE-2025-9316)
• Langflow工作流平台漏洞(CVE-2025-34291)

覆盖范围很有意思:从Web应用到邮件服务器,从IT管理平台到工作流自动化工具——全是企业日常运转的"水电煤"。

Oasis的研究人员追踪到一台位于荷兰的服务器(IP: 157.20.182.49),从中提取了大量攻击基础设施文件。模块化命令控制组件、自动化扫描脚本、协调攻击的日志——整套工具链已经工程化。

这里有个反直觉的发现:攻击者不是在找"最值钱"的系统,而是在找"最容易批量突破"的入口。12000台扫描量背后,是一套筛选逻辑——先确认谁能被攻破,再决定值不值得投入精力。

这种"漏斗模型"把黑客的边际成本压得很低。扫一万台服务器的自动化脚本,写一次就能跑一年。

第二阶段:从"谁能攻破"到"谁值得偷"

广撒网之后,攻击者切入了精准打击模式。目标锁定埃及、以色列、阿联酋的特定机构,工具换成了Outlook Web Access暴力破解。

他们用了两款自制工具:owa.py和Patator。后者是多线程攻击框架,前者专门针对微软邮件服务。配合用户名枚举,攻击者能批量测试"密码对不对"而不触发常见告警。

成果很具体:埃及一家消防企业的员工凭证被盗,阿联酋某机构的管理员账户列表被提取。这些不是"可能受影响",是研究人员确认的攻击得手。

注意这个切换逻辑——从漏洞利用(技术突破)到凭证窃取(身份伪装)。前者需要写利用代码,后者只需要耐心和字典。一旦拿到合法账号,攻击者在目标网络里就是"自己人"。

这种"技术开路、身份潜伏"的组合拳,正是APT(高级持续性威胁)组织的典型打法。但Oasis的分析师谨慎地用了"高度相似"而非"确认归属"——MuddyWater的风格痕迹明显,但直接 attribution(归因)需要更多证据。

第三阶段:航空公司的200份文件,暴露了攻击者的真实目标

攻击链条的最后一环,是确认的数据窃取。埃及一家航空组织遭殃,攻击者控制的目录里发现了约200份待传输文件。

内容清单读起来像人事部+财务部的合体:护照和签证记录、工资单、信用卡信息、内部企业文档。没有技术图纸,没有飞行数据——是人的数据,是可变现的数据,是可用于后续社会工程攻击的原材料。

这个选择很说明问题。攻击者不是来搞破坏的,是来收集"人质"的。护照信息能伪造身份,工资数据能判断职位价值,信用卡直接变现,内部文档能构造更逼真的钓鱼邮件。

更值得玩味的是地理扩展。葡萄牙和印度的实体也被纳入目标清单,说明"中东优先"不等于"仅限中东"。攻击者的资源池和意图范围,可能比已曝光的部分更大。

为什么这套打法特别难防?

把三个阶段连起来看,攻击者解决了一个经典难题:如何在海量潜在目标中,高效识别高价值猎物。

传统防御的思路是"加固城墙"——修漏洞、强密码、上多因素认证。但这场战役暴露了一个尴尬现实:你的城墙修得再好,邻居家的漏洞也能成为跳板。五枚CVE涉及的软件,可能不在你的资产清单里,但在你合作伙伴、供应商、外包团队的系统上跑着。

攻击者的"扫描-筛选"模型,本质上是在做"攻击经济学"的优化。12000台系统的扫描成本,由自动化脚本和云服务器摊薄;筛选出的几十个高价值目标,才值得投入人工精力精细化渗透。

这种"漏斗"结构让防御方很被动。你很难从全球扫描流量中识别"这是针对我的前奏",直到暴力破解或数据外传发生——而那时往往已经晚了。

Oasis的研究人员特别指出,攻击时间线与地缘政治节奏的吻合"引发了对战略意图的明确担忧"。这不是说黑客按外交日程表上班,而是说明网络行动正在被纳入更广泛的影响力工具箱——收集筹码、制造压力、预留杠杆。

企业能从这起事件里拿走什么?

三个 actionable 的观察:

第一,漏洞管理的时间窗口正在收窄。五枚CVE都是2025年披露,攻击者2月就用上了。传统"季度补丁"节奏面对这种速度,相当于用弓箭对抗机枪。需要建立新漏洞的监控-评估-应急机制,尤其是面向互联网暴露的系统。

第二,凭证是新的边界。OWA暴力破解能成功,说明密码策略和异常登录检测仍有死角。多因素认证(MFA)不是可选项,是底线;但MFA本身也需要监控——攻击者已经在开发针对特定MFA方案的绕过技术。

第三,数据分类和访问日志要配得上"被盯上"的风险。航空公司的200份文件能被批量打包,说明敏感数据的存储和访问缺乏足够的分段和审计。知道"谁访问了什么"比"能不能访问"更重要——后者是门禁,前者是监控录像。

最后一点,关于"相似性"与"归因"的谨慎。Oasis没有直接点名MuddyWater,而是强调"操作相似性"。这种克制是专业的——网络攻击的伪装技术越来越成熟,故意模仿对手风格以误导调查,本身就是战术选项。过度归因可能引发错误的地缘政治反应,而反应本身可能成为攻击者的目标。

但无论如何,这套"扫描-筛选-突破-窃取"的工业化流程,正在被更多攻击者复制。它降低了对单个黑客技术水平的依赖,把网络攻击变成了可分工、可规模化的产业。

你的安全团队,准备好应对这种"漏斗式"的筛选攻击了吗?还是从12000分之一,变成200份文件之一,取决于你现在做的选择。