想象一下:你收到一封巴西警方发来的正式公文,标题写着“数字授权书”或“警察局公函”,里面还有一个二维码,让你扫码查阅。邮件通过了所有你能想到的安全验证——发件人没问题、签名没问题、服务器都没问题。你信了。然后你点开了链接。恭喜,你刚刚走进了一场精心设计的网络陷阱。
这种以假乱真的攻击并不是脑补,而是安全公司ANY.RUN最新披露的“幻影谜团”行动。在这场仍在活跃的攻击中,黑客黑掉了超过20个巴西政府网站,把它们变成了恶意软件的顺风车。更狡猾的是,攻击者并不直接攻击政府系统,而是把官方域名当成值得信赖的跳板,用来掩盖真正的靶子——银行和公共机构。
被利用的政府域名五花八门:市镇门户、州级公共安全网、消防队系统、司法平台……什么都有。比如timon.ma.gov[.]br、loginam.sesp.es.gov[.]br、prodoc.ap.gov[.]br这些看起来一本正经的网址,全都在攻击链条中扮演了不同角色。研究人员发现,有些域名甚至同时出现在多个攻击分支里,这才把原本看似无关的活动串了起来,揭开了背后更大的棋局。
那这封“警方邮件”到底是怎么骗过三道防线的?原来,黑客直接闯进了合法的政府邮箱,用真的账号发件。这样一来,SPF、DKIM和DMARC这三套验证机制全都顺利放行。对比普通钓鱼邮件那种伪造发件人的低级玩法,这种“真邮箱发假邮件”的操作几乎可以把安全团队的眼睛蒙住。
一旦有人扫码或点击,就会被带到一个长得像政府网站的页面,或是直接跳转到被入侵的.gov.br主机上。最终,受害者会下载一个伪装的安装程序,一旦运行,后门就悄悄打开了。这款恶意软件从早期的浏览器劫持银行木马,一路进化成了模块化的Inno/Node.js后门,能随时执行攻击者下发的JavaScript,还能拖进来更多恶意载荷,伸缩自如。
整条攻击链的逻辑相当清晰:先伪造公文邮件骗取信任,再用被黑的政府侧设备消除疑虑,最后靠可变的后门模块完成入侵。对于安全团队来说,最头疼的地方就在于,域名是动态更换的,载荷是随时可变的,而发件服务器偏偏是你信赖的那一台。传统的静态黑名单几乎秒变废纸,真正有效的只剩下行为分析和持续的威胁狩猎。
这场“幻影谜团”行动还给安全圈提了个醒:当攻击者抄起了你不设防的那条路,原本最坚固的堡垒反而会变成第一个倒下的城门。一旦受害者落进这串连环设计里,从可信邮件到彻底失守,往往只差一次“我得看看官方通知”的冲动。
热门跟贴