想象一下:你收到一封巴西警方發來的正式公文,標題寫著“數字授權書”或“警察局公函”,里面還有一個二維碼,讓你掃碼查閱。郵件通過了所有你能想到的安全驗證——發件人沒問題、簽名沒問題、服務器都沒問題。你信了。然后你點開了鏈接。恭喜,你剛剛走進了一場精心設計的網絡陷阱。
這種以假亂真的攻擊并不是腦補,而是安全公司ANY.RUN最新披露的“幻影謎團”行動。在這場仍在活躍的攻擊中,黑客黑掉了超過20個巴西政府網站,把它們變成了惡意軟件的順風車。更狡猾的是,攻擊者并不直接攻擊政府系統,而是把官方域名當成值得信賴的跳板,用來掩蓋真正的靶子——銀行和公共機構。
![]()
被利用的政府域名五花八門:市鎮門戶、州級公共安全網、消防隊系統、司法平臺……什么都有。比如timon.ma.gov[.]br、loginam.sesp.es.gov[.]br、prodoc.ap.gov[.]br這些看起來一本正經的網址,全都在攻擊鏈條中扮演了不同角色。研究人員發現,有些域名甚至同時出現在多個攻擊分支里,這才把原本看似無關的活動串了起來,揭開了背后更大的棋局。
那這封“警方郵件”到底是怎么騙過三道防線的?原來,黑客直接闖進了合法的政府郵箱,用真的賬號發件。這樣一來,SPF、DKIM和DMARC這三套驗證機制全都順利放行。對比普通釣魚郵件那種偽造發件人的低級玩法,這種“真郵箱發假郵件”的操作幾乎可以把安全團隊的眼睛蒙住。
一旦有人掃碼或點擊,就會被帶到一個長得像政府網站的頁面,或是直接跳轉到被入侵的.gov.br主機上。最終,受害者會下載一個偽裝的安裝程序,一旦運行,后門就悄悄打開了。這款惡意軟件從早期的瀏覽器劫持銀行木馬,一路進化成了模塊化的Inno/Node.js后門,能隨時執行攻擊者下發的JavaScript,還能拖進來更多惡意載荷,伸縮自如。
整條攻擊鏈的邏輯相當清晰:先偽造公文郵件騙取信任,再用被黑的政府側設備消除疑慮,最后靠可變的后門模塊完成入侵。對于安全團隊來說,最頭疼的地方就在于,域名是動態更換的,載荷是隨時可變的,而發件服務器偏偏是你信賴的那一臺。傳統的靜態黑名單幾乎秒變廢紙,真正有效的只剩下行為分析和持續的威脅狩獵。
這場“幻影謎團”行動還給安全圈提了個醒:當攻擊者抄起了你不設防的那條路,原本最堅固的堡壘反而會變成第一個倒下的城門。一旦受害者落進這串連環設計里,從可信郵件到徹底失守,往往只差一次“我得看看官方通知”的沖動。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.