“我们成功打击了恶意木马SocGholish背后的犯罪团伙。”欧洲刑警组织6月末在Operation Endgame执法行动中宣布,警方查封106个域名和服务器,清除了14971个被植入恶意代码的WordPress网站。配合行动的Shadowserver基金会随后补充了一组数据:从2023年5月17日到2026年5月25日这三年间,黑客累计入侵超过144万个WordPress网站,覆盖全球187个国家和地区,牵涉1550个自治系统编号、1134542个域名和271176个IP地址。

把这组数字摊开,第一个念头就是:查封106个、清理14971个,对比144万这个入侵总量,清理比例才1%。剩下超过142万个已经中招的网站,是还在替黑客打工,还是因为已经没人维护而成了幽灵肉鸡?这份通报里最让人后背发凉的地方,正是执法行动收网的速度,远远追不上黑产扩张的节奏。

打开网易新闻 查看精彩图片

威胁情报研究人员梳理出攻击者主要靠三招打开缺口:密码喷洒、暴力撞库,以及直接利用已知安全漏洞进行批量入侵。手法不新鲜,但对大量长期不打补丁、使用弱密码的WordPress站点来说已经足够致命。一旦得手,黑客会植入恶意代码和钓鱼页面,继而向访问者的计算机投放SocGholish木马

真正让这个团伙连续活动三年才被端掉的,是一种被称为“域名影子”的隐蔽机制。攻击者先入侵域名注册商或域名管理后台,然后在合法域名下偷偷创建大量恶意子域名。这些钓鱼站点的域名看起来完全正常,被夹带在钓鱼邮件里,或者伪装成搜索引擎竞价排名中的推广链接,普通用户几乎不可能靠肉眼分辨。安全公司的检测工具同样难受——因为域名本身是受信的,子域名的异常行为很容易淹没在巨量合法流量中。

SocGholish木马就靠着这套伪装,一边绕过安全检测,一边把受害者骗向钓鱼页面,诱导他们下载安装带毒程序。从暴露的数据看,这绝不是什么小作坊操作:113万个域名、27万个IP地址被卷入这场肉鸡网络,覆盖了几乎全球所有主要经济体。让人忍不住吐槽的是,警方通报里提到的那个时间范围,终点是2026年5月25日,就算这属于明显的笔误,也暗示着参与调查的各方并不好奇这个团伙的启动日期究竟更早到什么程度。

挖出犯罪团伙固然值得鼓掌,但这件事的最后警铃是:3年时间,144万个网站变成攻击跳板,最后只清理了1%的站点,剩下的大量失陷系统仍然在给下一个木马预备着温床。域名影子这一招,在打击行动的新闻稿里只被轻轻带过,可对于所有还在手动管理自己域名和服务器的人来说,它几乎是一座还没被点亮的警示碑。