2025年10月钓鱼与勒索软件攻击态势分析及防御对策研究

摘要

2025年10月，全球网络安全威胁呈现显著升级趋势，钓鱼攻击与勒索软件活动同步激增。攻击者大规模滥用Google、Figma、ClickUp等可信云服务作为攻击基础设施，以规避传统邮件网关与URL过滤机制。其中，“Google Careers”仿冒招聘钓鱼与TyKit（亦称Tycoon 2FA）平台的广泛部署尤为突出。后者采用中间人代理（AitM）技术实时劫持多因素认证（MFA）会话，成功绕过Microsoft 365与Gmail的强认证防护。与此同时，LockBit 5.0勒索软件扩展至Linux与VMware ESXi环境，对虚拟化基础设施构成直接威胁。本文基于公开威胁情报与沙箱行为分析数据，系统梳理上述攻击的技术链条、战术特征与影响范围，并提出涵盖身份认证加固、云协作平台监控、OAuth权限治理及浏览器层行为检测在内的纵深防御体系。通过代码示例展示典型TyKit载荷的解混淆过程与LockBit 5.0在ESXi环境中的加密逻辑，验证防御措施的有效性。研究表明，仅依赖静态指标（IOC）与边界防护已无法应对当前高级持续性钓鱼与跨平台勒索攻击，需转向以行为可见性为核心的主动防御范式。

关键词：钓鱼攻击；勒索软件；TyKit；LockBit 5.0；AitM；MFA绕过；云服务滥用；行为检测

1 引言

近年来，网络攻击者持续优化其战术、技术和程序（TTPs），尤其在初始访问阶段，对合法云服务的滥用已成为主流策略。2025年10月，多个安全厂商报告钓鱼与勒索软件活动出现同步高峰，其共同特征在于高度依赖可信第三方平台构建攻击链，从而有效规避基于域名黑名单、邮件签名或文件哈希的传统检测机制。此类攻击不再局限于单一终端或邮件客户端，而是横跨身份认证、协作工具与虚拟化基础设施，形成端到端的复合威胁。

值得注意的是，本次攻击浪潮中出现了两类具有代表性的技术演进：其一为“Google Careers”仿冒钓鱼，利用求职者对知名雇主品牌的信任，通过多跳重定向与CAPTCHA验证伪装合法性，最终窃取企业账户凭证；其二为TyKit（Tycoon 2FA）钓鱼即服务（PhaaS）平台的规模化部署，该平台通过反向代理实现对MFA会话的实时拦截与重放，从根本上挑战了当前主流的多因素认证模型。与此同时，LockBit勒索组织发布5.0版本，首次原生支持VMware ESXi与Linux系统，标志着勒索软件攻击目标从终端用户向数据中心核心资产的战略转移。

现有研究多聚焦于单一攻击类型或特定技术点，缺乏对2025年10月这一特定时间窗口内钓鱼与勒索协同演化的系统性分析。本文旨在填补这一空白，通过对公开样本、沙箱日志与攻击链重建，揭示攻击者如何利用云服务生态的“信任红利”构建隐蔽通道，并评估现有防御体系的失效点。在此基础上，提出一套可落地的技术对策，强调从身份层到基础设施层的纵深联动，而非孤立依赖某一层级的防护能力。

2 攻击态势总览

2025年10月的网络威胁呈现出“双高”特征：钓鱼攻击数量环比增长37%，勒索软件事件同比增长28%（据ANY.RUN等沙箱平台统计）。攻击目标集中于科技、金融、政府与电信行业，这些领域普遍采用SaaS应用与虚拟化架构，为攻击者提供了丰富的攻击面。

攻击者的核心策略可归纳为“借壳隐身”：利用Google、Figma、ClickUp等平台的合法域名发送钓鱼邮件或托管恶意内容。由于这些域名通常被列入企业白名单，传统安全网关难以触发告警。例如，一封看似来自“Google Careers”的招聘邮件，实际通过Salesforce重定向链接跳转至Cloudflare Turnstile CAPTCHA页面，最终将用户引导至satoshicommands.com等恶意域进行凭证收集。整个过程模拟真实用户交互流程，极大提升了欺骗成功率。

此外，攻击自动化程度显著提高。TyKit作为模块化钓鱼平台，支持快速部署针对不同目标（如M365、Gmail、Okta）的定制化钓鱼页面，并内置反调试、延迟加载与C2通信混淆机制。而LockBit 5.0则通过DLL反射加载与日志清除功能，缩短驻留时间，增加取证难度。

3 钓鱼攻击技术深度剖析

3.1 “Google Careers”仿冒钓鱼

该攻击始于一封伪造的Google招聘通知邮件，主题通常为“You’ve been selected for an interview at Google”。邮件正文包含一个“View Application Status”按钮，指向形如https://google-careers.force.com/...的Salesforce子域。点击后，用户被重定向至一个使用Cloudflare Turnstile的CAPTCHA验证页，进一步增强可信度。验证通过后，最终跳转至由攻击者控制的钓鱼站点（如hire.gworkmatch.com），页面完全克隆Google登录界面，要求输入邮箱与密码。

关键在于，整个跳转链路均发生在合法域名下，直至最后一步才暴露恶意域。且部分变种甚至将钓鱼表单嵌入SVG文件中，通过JavaScript动态加载，规避静态内容扫描。

3.2 TyKit（Tycoon 2FA）平台运作机制

TyKit是2025年5月首次发现、10月达到活跃高峰的PhaaS平台。其核心创新在于集成AitM（Adversary-in-the-Middle）代理，实现MFA绕过。传统观点认为MFA可有效阻止凭证窃取，但TyKit通过以下步骤颠覆此假设：

用户访问TyKit托管的M365钓鱼页面，输入用户名密码；

TyKit后端立即将凭证转发至真实M365登录页，触发MFA挑战（如推送通知或TOTP）；

用户在真实设备上批准MFA请求；

TyKit捕获返回的会话Cookie（如.AspNet.Cookies、x-ms-gateway-sso等）；

攻击者使用该Cookie直接登录用户账户，无需知道第二因子。

此过程完全在用户无感知下完成，且会话有效期内可长期维持访问。TyKit还采用Base64编码与eval()函数混淆JavaScript载荷，典型代码片段如下：

// TyKit SVG嵌入载荷（简化示例）

var payload = "aHR0cHM6Ly9sb2dpbi5taWNyb3NvZnRvbmxpbmUuY29tL...";

var decoded = atob(payload);

var script = document.createElement('script');

script.src = decoded;

document.body.appendChild(script);

更复杂的变种会分阶段加载，首阶段仅解密C2地址，次阶段下载完整代理脚本，以规避沙箱一次性分析。

3.3 Figma与ClickUp的滥用

Figma的公共原型功能被Storm-1747等组织用于托管Microsoft-themed钓鱼页面。攻击者创建名为“Q3 Financial Report”的共享链接，诱导用户点击“View Document”，实则跳转至伪造的Office 365登录页。由于链接源自figma.com，企业邮件系统常放行。

ClickUp则被用作重定向跳板。钓鱼邮件包含https://doc.clickup.com/...链接，点击后经302重定向至*.onmicrosoft.com子域，再跳转至Azure Blob Storage托管的最终钓鱼页。该手法模拟正常协作流量，绕过基于域名的访问控制策略。

4 勒索软件：LockBit 5.0的跨平台扩张

LockBit 5.0于2025年10月发布，正值该组织成立六周年。新版本最大变化是支持Linux与VMware ESXi，使其成为真正意义上的跨平台勒索软件。

4.1 架构与功能增强

LockBit 5.0采用模块化设计，Windows版使用DLL反射加载主加密模块，避免写入磁盘；Linux与ESXi版则为独立ELF二进制。所有版本均具备以下特性：

增强混淆：字符串加密、控制流平坦化；

反分析：检测虚拟机、沙箱、调试器；

服务终止：主动停止数据库、备份、安全软件进程；

日志清除：调用wevtutil cl（Windows）或journalctl --vacuum-time=1s（Linux）清除系统日志；

随机扩展名：加密后文件附加如.lockbit5、.encrypted等随机后缀。

4.2 ESXi攻击链

针对VMware ESXi的攻击尤为危险。攻击者通常通过暴露的SSH或vCenter漏洞获取root权限后，上传LockBit ESXi载荷。该载荷直接遍历/vmfs/volumes/目录，对所有.vmdk、.vmx文件进行AES-256加密。由于ESXi主机管理多个虚拟机，一次成功入侵可导致整个数据中心瘫痪。

以下为LockBit 5.0在ESXi中加密文件的伪代码逻辑：

// LockBit 5.0 ESXi 加密核心逻辑（示意）

void encrypt_vmfs_volumes() {

char* volumes[] = {"/vmfs/volumes/datastore1", "/vmfs/volumes/datastore2"};

for (int i = 0; i < sizeof(volumes)/sizeof(char*); i++) {

traverse_and_encrypt(volumes[i], ".vmdk,.vmx,.nvram");

}

}

void traverse_and_encrypt(char* path, char* extensions) {

DIR* dir = opendir(path);

if (!dir) return;

struct dirent* entry;

while ((entry = readdir(dir)) != NULL) {

if (is_target_file(entry->d_name, extensions)) {

char full_path[256];

snprintf(full_path, sizeof(full_path), "%s/%s", path, entry->d_name);

aes256_encrypt_file(full_path); // AES-256-GCM

rename_with_random_ext(full_path); // 附加随机扩展名

}

}

closedir(dir);

}

该设计使得恢复极为困难，除非拥有离线备份。

5 防御体系构建

面对上述复合威胁，传统边界防御已显不足。需构建覆盖身份、终端、云平台与基础设施的纵深防御体系。

5.1 身份认证加固

强制硬件安全密钥：推广FIDO2/WebAuthn标准，使用YubiKey等物理设备替代短信或TOTP。硬件密钥绑定具体网站，无法被AitM代理重放。

条件访问策略：基于设备合规性、地理位置、IP信誉实施动态访问控制。例如，非公司IP尝试访问M365时强制二次审批。

会话监控：部署UEBA系统，检测异常登录行为（如短时间内跨洲登录）。

5.2 云协作平台治理

第三方链接隔离：对邮件中来自Figma、ClickUp等平台的链接，强制在远程浏览器隔离环境中打开，防止直接跳转至恶意域。

OAuth应用审查：定期审计已授权的第三方应用，撤销非必要权限（如“读取所有邮件”、“管理文件”）。

异常共享告警：在Google Drive、SharePoint等平台启用告警规则，如“单日共享文件超50次”或“向外部域共享敏感文档”。

5.3 浏览器层行为检测

由于大量攻击发生在浏览器内，需提升该层可见性：

扩展管控：禁止安装未经批准的浏览器扩展，防止恶意插件窃取Cookie。

JavaScript行为分析：部署EDR或专用浏览器代理，监控eval()、atob()、document.write()等高风险API调用。例如，检测到SVG中动态加载外部脚本可触发告警。

Cookie保护：启用SameSite=Strict与HttpOnly属性，限制第三方脚本访问认证Cookie。

5.4 虚拟化环境防护

最小权限原则：ESXi管理账户仅限必要人员持有，禁用root远程登录。

网络分段：将管理流量与虚拟机流量隔离，限制横向移动。

离线备份：关键虚拟机配置每日离线备份，并验证可恢复性。

6 实验验证

为验证防御措施有效性，我们在受控环境中复现TyKit与LockBit 5.0攻击。

实验1：TyKit MFA绕过测试

部署TyKit钓鱼页，诱使测试账户输入凭证并完成MFA。结果：攻击者成功获取会话Cookie并登录邮箱。

缓解措施：启用FIDO2安全密钥后，即使凭证泄露，攻击者无法完成认证，因私钥不出设备。

实验2：LockBit 5.0 ESXi加密

在测试ESXi主机运行LockBit载荷。结果：所有.vmdk文件在8分钟内被加密。

缓解措施：启用基于主机的防火墙规则，阻止非授权进程访问/vmfs/volumes/，可中断加密进程。

7 结论

2025年10月的钓鱼与勒索软件攻击表明，攻击者正系统性地利用现代IT架构中的信任机制——无论是云服务的品牌信誉，还是MFA的用户体验设计，抑或是虚拟化平台的管理便利性。TyKit与LockBit 5.0分别代表了身份层与基础设施层的攻击演进方向：前者通过AitM技术瓦解MFA防线，后者通过跨平台能力扩大破坏范围。

防御的关键不在于堆砌更多边界设备，而在于打破“合法即安全”的假设，建立基于行为的持续验证机制。企业应推动从“凭证为中心”向“会话与设备为中心”的安全模型转型，同时加强对云原生环境的细粒度监控。唯有将身份、终端、网络与数据各层防御能力联动，才能有效应对当前高度协同、自动化的复合威胁。

未来工作将聚焦于自动化钓鱼链识别算法与ESXi内存加密保护机制，进一步压缩攻击者的操作空间。

编辑：芦笛（公共互联网反网络钓鱼工作组）