剛剛過去的10月，全球網(wǎng)絡安全形勢再度拉響警報。據(jù)多家權(quán)威機構(gòu)監(jiān)測數(shù)據(jù)顯示，釣魚攻擊與勒索軟件活動同步顯著上升，攻擊者正以前所未有的“巧勁”繞過傳統(tǒng)防御體系——他們不再依賴可疑附件或陌生域名，而是大規(guī)模濫用Google、Figma、ClickUp等廣受信任的協(xié)作平臺，精心偽裝成正規(guī)招聘流程或工作文檔，誘導用戶主動交出賬號憑證。

其中，兩起典型事件引發(fā)廣泛關注：一是仿冒“Google Careers”（谷歌招聘）的釣魚活動席卷科技與咨詢行業(yè)；二是名為 TyKit（亦稱 Tycoon 2FA）的新型釣魚工具包在暗網(wǎng)活躍，并被證實具備實時繞過多因素認證（MFA）的能力。與此同時，臭名昭著的 LockBit 勒索團伙也推出其5.0版本，首次將攻擊目標擴展至Linux系統(tǒng)與VMware ESXi虛擬化環(huán)境，對數(shù)據(jù)中心構(gòu)成直接威脅。

打開百度APP暢享高清圖片

“高仿”招聘郵件：從簡歷到賬號，一步淪陷

10月中旬，大量求職者收到來自“Google Careers”的郵件，內(nèi)容看似正規(guī)：“恭喜您進入下一輪面試，請登錄查看職位詳情”。點擊鏈接后，頁面跳轉(zhuǎn)至一個高度仿真的谷歌招聘門戶，甚至包含Cloudflare Turnstile驗證碼和Salesforce重定向鏈路，極具迷惑性。

然而，這一連串操作的終點卻是一個名為 satoshicommands.com 的釣魚站點。用戶在此輸入的郵箱、密碼乃至簡歷文件（常含宏代碼），均被實時竊取。安全公司ANY.RUN的沙箱分析顯示，該攻擊鏈采用多跳跳轉(zhuǎn)、合法CDN托管和動態(tài)加載技術，傳統(tǒng)基于URL黑名單或郵件頭檢測的防護手段幾乎失效。

更令人警惕的是，類似手法已蔓延至Figma和ClickUp。攻擊者利用Figma公開原型功能，創(chuàng)建名為“Q3項目文檔”的共享鏈接，誘使員工點擊后跳轉(zhuǎn)至偽造的Microsoft 365登錄頁；而ClickUp則被用作中間跳板，通過其官方子域名（如doc.clickup.com）中轉(zhuǎn)流量，最終導向Azure Blob存儲中的惡意載荷。

“這不再是‘垃圾郵件’時代了?！惫不ヂ?lián)網(wǎng)反網(wǎng)絡釣魚工作組技術專家蘆笛指出，“今天的釣魚攻擊像一場精心編排的戲劇——攻擊者借用你每天使用的工具、熟悉的界面，甚至合規(guī)流程，讓你在毫無戒備中‘自愿’交出鑰匙?！?br/>

TyKit：能繞過MFA的“釣魚即服務”平臺

如果說傳統(tǒng)釣魚只是“偷密碼”，那么TyKit的出現(xiàn)則意味著攻擊者已能“接管整個會話”。

TyKit最早于2025年5月被發(fā)現(xiàn)，10月迎來爆發(fā)。它本質(zhì)上是一種“釣魚即服務”（PhaaS）平臺，允許非技術型犯罪分子租用現(xiàn)成的釣魚頁面模板。其核心技術在于 AitM（Adversary-in-the-Middle）反向代理機制：當受害者訪問偽造的微軟或谷歌登錄頁時，TyKit后臺會實時將用戶輸入轉(zhuǎn)發(fā)至真實官網(wǎng)，獲取合法的會話Cookie和身份令牌，再回傳給受害者以維持“正常體驗”——而攻擊者則同步拿到完整的認證狀態(tài)，實現(xiàn)“無感劫持”。

“這意味著，即使你啟用了短信驗證碼或認證器App，攻擊者依然能繞過?！碧J笛解釋道，“因為MFA驗證的是‘那一刻’的身份，而AitM攻擊捕獲的是驗證成功后的會話憑證。這就像小偷沒撬鎖，而是趁你開門時尾隨進屋?！?br/>

更棘手的是，TyKit將惡意代碼隱藏在SVG圖像文件中，通過Base64編碼和JavaScript的eval()函數(shù)動態(tài)執(zhí)行，規(guī)避靜態(tài)掃描。它還內(nèi)置反調(diào)試和分階段C2通信機制，進一步延長潛伏時間。目前已知該工具包主要針對金融、政府和電信部門，造成數(shù)百起賬戶失陷事件。

LockBit 5.0：勒索軟件“跨平臺擴張”

在釣魚攻擊升級的同時，勒索軟件也沒閑著。LockBit團伙為慶祝成立六周年，于10月發(fā)布LockBit 5.0，首次支持Linux和VMware ESXi系統(tǒng)。

以往勒索軟件多聚焦Windows終端，而新版本直接瞄準企業(yè)核心基礎設施——虛擬化平臺。一旦攻入ESXi主機，攻擊者可一次性加密數(shù)十臺虛擬機，造成整個業(yè)務集群癱瘓。其采用DLL反射加載、代碼混淆和日志清除技術，極大增加溯源難度。歐洲、北美及亞洲多地企業(yè)已報告遭受攻擊，平均停機時間超過72小時。

“虛擬化環(huán)境本應是效率提升的利器，如今卻成了攻擊者的‘放大器’?！碧J笛提醒，“企業(yè)必須將hypervisor納入安全監(jiān)控范圍，定期備份虛擬機快照，并限制ESXi管理接口的公網(wǎng)暴露?！?br/>

防御建議：從“堵漏洞”轉(zhuǎn)向“看行為”

面對日益狡猾的攻擊手法，專家一致認為，僅靠更新補丁、屏蔽惡意IP或部署傳統(tǒng)防火墻已遠遠不夠。

蘆笛提出四點務實建議：

強制使用硬件密鑰認證：如YubiKey或Titan Security Key。這類基于FIDO2標準的物理設備能有效抵御AitM攻擊，因為私鑰永不離開硬件，無法被遠程竊取。

對第三方鏈接實施隔離瀏覽：員工點擊郵件中的Figma、ClickUp等外部鏈接時，應在隔離的瀏覽器容器中打開，防止惡意腳本接觸本地系統(tǒng)。

收緊OAuth授權(quán)權(quán)限：定期審查云賬戶（如Google Workspace、Microsoft 365）中已授權(quán)的第三方應用，撤銷不必要的權(quán)限，防止攻擊者通過合法API竊取數(shù)據(jù)。

啟用協(xié)作平臺異常行為告警：例如，當某員工賬號在非工作時間大量下載共享文檔，或?qū)ν夥窒砻舾形募A時，系統(tǒng)應自動觸發(fā)審核流程。

此外，針對招聘場景，企業(yè)HR部門應統(tǒng)一使用官方招聘門戶接收簡歷，禁止通過郵件直接接收.docm、.xlsm等帶宏文檔，并對所有應聘者鏈接進行URL信譽檢查。

結(jié)語：信任不能成為安全的盲區(qū)

這場10月的網(wǎng)絡風暴揭示了一個殘酷現(xiàn)實：攻擊者正在系統(tǒng)性地“武器化信任”。他們不再試圖突破圍墻，而是穿上你同事的工牌、模仿你常用的工具、復刻你熟悉的流程，堂而皇之地走進來。

正如蘆笛所言：“未來的安全防線，不在邊界，而在行為。我們需要的不僅是更聰明的AI，更是更清醒的人?！?br/>

隨著年末購物季與年終結(jié)算臨近，網(wǎng)絡犯罪活動預計將持續(xù)高發(fā)。企業(yè)和個人唯有提升警惕、擁抱零信任理念，方能在數(shù)字洪流中守住最后一道防線。

新聞背景：本文依據(jù)Cyber Security News于2025年11月5日發(fā)布的《October Sees Rise in Phishing and Ransomware Attacks》綜合撰寫，技術細節(jié)經(jīng)ANY.RUN、APWG等多方交叉驗證。

編輯：蘆笛（公共互聯(lián)網(wǎng)反網(wǎng)絡釣魚工作組）