你有没有接过这样的电话:对方自称公司IT工程师,语气急切地让你帮忙验证一下账号?
挂断前请三思——你可能正把公司云盘的大门钥匙亲手交给黑客。
近日,网络安全界曝出一则重磅消息:一个名为“Pink”的新型勒索犯罪团伙,正利用语音钓鱼(Vishing)这一老套路,精准攻击企业的 Microsoft 365 云环境。即便你的公司开启了多因素认证(MFA),依然可能被轻松突破。想要了解更多安全攻防案例,可以关注 云栈社区,这里有大量一线技术人的实战分享。
第一步:一通电话,骗走你的登录态
根据 Palo Alto Networks 旗下 Unit 42 研究团队的监测,Pink 团伙并非靠复杂的病毒程序硬闯系统,而是玩起了“社会工程学”。他们冒充公司内部 IT 人员,给员工打电话,谎称系统需要紧急更新或验证,诱导员工访问两个仿冒网站:
- passkeyaddcom
- passkeydeploy.com
一旦员工信以为真并输入账号密码,黑客并不需要强行破解 MFA——他们直接劫持了你的实时登录会话。换句话说,他们绕过了那道“第二道锁”,大摇大摆地走进公司云盘。
第二步:几分钟内,云端文件被洗劫一空
进入 Microsoft 365 后,Pink 团伙不搞破坏,也不植入后门。他们极其高效地调用微软自带的自动化工具,迅速把 OneDrive 和 SharePoint 中的所有敏感文件拖走。整个过程仅需数分钟。
得手之后,勒索即刻开始。攻击者直接利用被入侵员工的账号,通过公司内部邮件和 Microsoft Teams 向同事发送勒索信息,给高管层下达72小时的最后期限,要求支付赎金。
第三步:隐身术拉满,传统杀毒软件看不见
安全分析公司 Gurucul 在跟进研究后发现,Pink 团伙在本地设备上的操作极为隐蔽。他们采用无文件攻击方式——不下载任何显眼的病毒程序,而是将恶意代码直接构建在电脑的临时内存缓存中。这意味着传统的杀毒软件扫描硬盘时,根本找不到任何痕迹。
更狡猾的是,恶意代码在运行前会先“环顾四周”:如果发现自己被装进了沙箱或安全分析实验室,就会立刻停止所有恶意行为,让技术人员难以分析。这类高对抗性的手法,在 安全/渗透/逆向 领域中也常被列为高级威胁分析的重点课题。
🛡️ 企业该如何防御?
由于 Pink 团伙使用的是合法的云工具和真实账号,传统防火墙几乎无法拦截。安全专家建议采取以下措施:
- 强化员工培训:任何突然打来的“IT电话”都要通过官方渠道二次核实,不轻信、不点击、不输入。
- 监控异常行为:重点关注日志中出现的自动化批量脚本,以及短时间内大量文件下载或迁移的异常活动。
- 阻断恶意域名:提前将 passkeyaddcom 和 passkeydeploy.com 加入黑名单。
- 部署行为分析系统:利用 UEBA(用户与实体行为分析)工具,及时发现正常账号下的异常操作。
Pink 团伙的出现再次证明:技术防线再高,人性的缺口依然是最短的木板。一通精心伪装的电话,足以让企业数月的数据积累在几分钟内化为乌有。
资讯来源:Palo Alto Networks Unit 42、Gurucul 安全研究报告 | 
发表于 3 小时前
|
查看: 5|
回复: 0
