你刚被几百封垃圾邮件淹没,Teams突然弹出一条消息:"我是IT支持,看到您的邮箱异常,需要远程协助。"——这不是帮忙,是抢劫的开始。
Google威胁情报团队(GTIG)近期追踪到一个全新威胁组织,他们正在用一套组合拳攻击企业:先制造混乱,再扮成救火队员,最后用定制恶意软件扎根。整个流程设计精密,受害者往往在"配置完成"的提示中浑然不觉。
第一阶段:制造危机,再扮演救世主
攻击始于2025年12月底的一场大规模邮件轰炸。目标组织的邮箱突然被海量垃圾邮件塞满——这不是骚扰,是铺垫。
紧接着,攻击者通过微软Teams发起聊天邀请,自称帮助台人员,主动提出解决邮件过载问题。GTIG描述这个场景:用户正处于焦虑状态,"官方"支持的及时出现降低了戒备心。
伪造的IT人员会引导用户点击一个链接,声称安装"本地补丁"可阻止垃圾邮件。链接指向一个精心设计的页面,标题为"邮箱修复工具",配有一个醒目的"健康检查"按钮。
点击后,系统提示输入邮箱密码进行认证。这里藏着一个心理操控细节:脚本会自动拒绝前两次密码输入,显示"密码错误"。
GTIG分析这个设计的双重功能:"它强化用户对系统合法性的信任——看起来确实在做实时验证;同时确保攻击者捕获两次密码,大幅降低窃取数据中出现拼写错误的风险。"
页面随后执行一段虚假的邮箱完整性检查动画,保持用户注意力。与此同时,凭证和元数据被送往攻击者控制的亚马逊S3存储桶,后台文件持续下载到用户机器。
当用户看到"配置成功完成"的提示时,攻击者已完成两件事:获取凭证,并可能通过已下载的文件在终端建立持久化据点。
正方观点:这是经典社工的"体验升级"
从攻击设计角度看,这个团伙展现了成熟的用户体验思维——只不过用在犯罪上。
支持这一判断的证据在于流程的完整性:制造痛点(邮件轰炸)→ 提供解决方案(Teams即时响应)→ 消除疑虑(双重密码验证的"真实感")→ 延迟暴露(虚假检查动画争取时间)。每一步都针对企业用户的典型行为模式设计。
微软Teams作为攻击渠道的选择同样精准。企业环境中,Teams消息往往比邮件更具即时性和信任度,IT支持通过Teams联系员工是日常场景。攻击者没有试图突破技术防线,而是直接走进敞开的门。
恶意软件的命名体系也透露组织化程度:SnowBelt、SnowGlaze、SnowBasin构成模块化生态,分工明确。浏览器扩展作为初始立足点,Python隧道工具负责通信,这种架构便于维护和迭代。
反方观点:技术含量有限,依赖环境漏洞
质疑的声音同样有力:这套攻击的核心并非技术创新,而是对现有信任机制的滥用。
AutoHotkey脚本和浏览器扩展都是常见工具,Chromium扩展的持久化方式——利用浏览器扩展注册系统——是已知技术。SnowGlaze的WebSocket隧道也没有突破性的网络规避设计。
真正的"漏洞"是企业对Teams等协作工具的安全管控缺失。如果组织配置了Teams外部访问限制,或对用户进行钓鱼演练,这套攻击链会在早期断裂。
亚马逊S3作为数据中转站的选择,更多是利用云服务的普遍信任,而非技术对抗。攻击者没有试图隐藏C2基础设施的复杂架构,而是依赖"配置成功"的心理暗示争取时间窗口。
从防御视角看,这是一个"可拦截的攻击"——双重密码输入的异常行为、未知来源的浏览器扩展安装、向外部S3桶的数据传输,都存在检测点。
判断:精准的产品化攻击,防御需要"反向体验设计"
这个威胁组织的真正价值在于展示了一种趋势:攻击正在产品化。
他们不是最早使用Teams钓鱼的团伙,但将多个环节打磨成流畅的用户体验:垃圾邮件制造紧迫感,Teams响应建立权威感,双重验证消除怀疑,动画反馈维持耐心。每个触点都经过设计,降低用户跳出率——就像一款精心优化的SaaS产品。
命名统一的"Snow"系列恶意软件,暗示这可能是一个可复用的攻击框架,而非一次性行动。模块化架构允许快速替换组件,适应不同目标环境。
对企业防御的启示在于:需要以"反向体验设计"思维布防。攻击者在每个触点投入设计精力,防御方就需要在对应环节设置摩擦点——Teams外部域警告、浏览器扩展安装审批、异常认证行为检测、出站流量监控。
这场攻击没有利用零日漏洞,却可能比许多高级漏洞更有效。它提醒我们:最危险的入侵,往往穿着帮助的外衣,通过你已经信任的门。
热门跟贴