2026年3月的一个普通工作日上午,乌克兰一家大型快速消费品控股公司的财务总监点开了一封看似常规的账单邮件。附件是一个压缩包,里面藏着一个JavaScript文件。在他双击解压的几秒钟里,整个财务系统的轮廓已经被回传到一个远在千里之外的指挥控制服务器上。同一时间,波兰某汽车集团的内部邮箱也在遭遇几乎一模一样的钓鱼攻击,德国汽车制造商、俄罗斯一家炼油企业,甚至未被普遍承认的外德涅斯特财政部,都在这一波浪潮中相继失守。
这不是一次广撒网式的随机骚扰。攻击者在选择目标时表现出清晰的地理与行业偏好,而后续分析更揭示,整条攻击链从发送垃圾邮件的IP到接收窃取数据的命令服务器,都经由两个精心挑选的自治系统完成路由。这两个系统分别叫作GHOSTYNETWORKS和OMEGATECH,它们的存在,为这场原本算不上罕见的邮件攻击增添了一层更具产业感的底色——有人正在把“防弹托管”做成隐蔽而高效的犯罪基础设施。
反垃圾邮件系统通常会根据IP信誉和流量特征拦截可疑来源,因此攻击者必须不断寻找尚未被列入黑名单的地址段来投递钓鱼邮件。GHOSTYNETWORKS在2026年1月才以AS205759的身份在美国肯塔基州注册,满打满算运营不足三个月,便已卷入这次多国攻击。更耐人寻味的是,安全公司Intrinsec的威胁情报团队在追踪过程中,把这个新注册的网络和一个已经停止运作的旧网络OPTIBOUNCE关联了起来,二者不仅注册地同为肯塔基州,连组织者姓名都指向同一个人——Daniel Mishayev。此人在肯塔基州多家公司登记信息中反复出现,而这些公司又分别对应着多个被持续标记为滥用内容的网络。这种围绕个人反复注册、使用、废弃网络前缀的做法,几乎成为防弹托管商规避监管的标准操作。
Intrinsec的研究人员在与Cyber Security News共享的报告中指出,GHOSTYNETWORKS宣布的六个网络前缀中,目前有四个已被Spamhaus标记为滥用,并被描述为一个在全球范围内支持网络犯罪活动的网络。整个2026年3月,安全团队的蜜罐系统记录到超过3万次来自GHOSTYNETWORKS所辖IP的网络命中。另一侧,同样被用于路由C2服务器的OMEGATECH,在已披露的报告中则没有展示更多细节,但它与GHOSTYNETWORKS共同构成了这次行动的骨干节点,这一点已经得到确认。
支撑这套基础设施的恶意代码本身也不简单。随钓鱼邮件附送的ZIP或RAR压缩包内藏着一个高度混淆的JavaScript后门,它通过非标准端口与C2通信,躲避了绝大多数依赖默认端口识别的检测规则。一旦受害者执行了脚本,后门就会收集系统信息并回传,同时为被感染的机器分配一个唯一标识符,之后维持一个持久的双向连接,以便攻击者随时下发后续指令。利用非标准端口和独特标识的做法显著拉长了后门在内部网络中的潜伏时间,也提高了安全团队事后溯源的难度。
如果孤立地看每一组技术细节——混淆脚本、非标准通信端口、唯一机器标识、防弹自治系统——都算不上新鲜。但当它们被紧凑地组合在同一场攻势里,并且专门瞄向那些防御预算有限的机构时,背后的经济利益链条就清晰了。美国联邦调查局报告称,仅2025年一整年,商业邮件诈骗在全球造成的损失就超过30亿美元,而这波攻击反复打击各国财务部门,从第一阶段的能源、汽车、政府财政,到4月第二波扩展至更多金融敏感机构,金钱的指向几乎不加遮掩。
外德涅斯特财政部这类规模较小、邮件安全控制尚未成熟的政府目标,在攻击者眼中恰恰是高性价比的突破口。有限的IT预算意味着他们无法部署昂贵的威胁情报平台或者定制化检测系统,而不成熟的邮件管控则让伪装精良的钓鱼邮件更容易抵达目标收件箱。这种“向下兼容”的攻击思路正在拉大防御者与攻击者之间的成本差距,也让GHOSTYNETWORKS和OMEGATECH这样的基础设施有了反复租用、快速换皮的空间。
对大多数企业而言,邮件的海量性和附件类型的多样性使得全部扫描混淆脚本变得吃力,而非标准端口的异常外联往往淹没在大量正常业务流量之中。安全研究员通过蜜罐追踪和注册信息交叉比对,确实将至少一部分攻击设施公之于众,但关键的挑战在于:即便今天GHOSTYNETWORKS被彻底封禁,同一批人完全可以换个新名称、注册一个新的自治系统,再次把新地址卖给下一批攻击者。只要邮件系统里那种“能打开就不必多问”的操作习惯不改,只要对非标准端口的出站流量视而不见,这种专门服务化的攻击就不会真的消失。
热门跟贴