文章总结： APT28利用真实PDF诱饵与Webhook.site、ngrok等可信开发服务构建三重跳转钓鱼链：先展示真文件赢得信任，再弹出伪造OWA/SophosVPN页面窃密，最后无缝重定向回原文件，使受害者仅感短暂卡顿即完成凭证盗取；防御需DNS白名单、行为分析与FIDO2硬件密钥阻断隐匿外带 综合评分： 88 文章分类： 威胁情报,漏洞分析,红队,安全意识,APT攻击

【深度复盘】真文件换走你的真密码？揭秘 APT28 如何利用 Webhook 玩转“盗梦空间”

原创

Hankzheng

技术修道场

2026年1月14日 07:46 广东

大家好，做我们这行的，最怕的不是服务器冒烟，而是系统“看起来”一切正常，但底裤已经被扒光了。

最近，Recorded Future 曝出了 APT28（也就是大名鼎鼎的 BlueDelta，俄罗斯 GRU 下属的那个狠角色）的一波最新“骚操作”。这波攻击主要瞄准了土耳其的能源核能机构以及欧洲的智库。

但这不仅仅是一次普通的钓鱼，它的技术逻辑非常狡猾，甚至利用了我们日常开发调试常用的工具链。 今天我就带大家扒一扒这层皮，看看这些顶尖黑客是怎么把“社会工程学”和“技术伪装”玩出花的。

01 这不是演习：熟悉的配方，升级的味道

先交代一下背景。这波攻击主要集中在 2025 年 2 月和 9 月。

APT28 这次的目标很明确：盗取凭证（Credential Harvesting）。

如果你觉得“盗号”很低端，那你就大错特错了。这次他们的高明之处在于“去伪存真”。他们精心伪造了 Microsoft OWA（Outlook Web Access）、Google 甚至 Sophos VPN 的登录页面。

但这还不是重点，重点是 Redirect（重定向）的艺术。

攻击者的核心逻辑：

骗你在假页面输入密码 → 瞬间跳转到真页面 → 你以为只是网络卡了一下，实际上密码已经丢了。

这种“无感知”攻击，最容易绕过管理员的警觉，甚至连老网工都可能中招。

02 技术拆解：攻击链是如何闭环的？

作为技术人员，我们不能只看热闹，得看门道。这波攻击之所以能成功，是因为它在技术实现上做到了极致的“仿真”和“利用”。

第一步：诱饵的“真实性”

黑客没有随便发个垃圾邮件，而是使用了真实的 PDF 文档作为诱饵。比如，他们利用了海湾研究中心关于“2025年6月伊朗-以色列战争”的报告，或者是气候智库 ECCO 的政策简报。

这些文件对于目标群体（能源、政策研究人员）来说，点击欲望极高。

第二步：滥用合法基建（Webhook & ngrok）

这是最让我觉得“鸡贼”，也最值得大家警惕的技术点。APT28 大量使用了 Webhook.site、InfinityFree、Byet 和 ngrok 这些服务。

• 信任度高：

  这些域名通常是合法的开发测试域名，防火墙和流量审计设备很难直接把它们拉黑。

• HTTPS 标配：

  自带 SSL 证书，浏览器地址栏显示“安全锁”，降低了受害者的戒心。

• 零成本：

  随时申请，随时丢弃，溯源难度极大。

第三步：精妙的“三重跳转”逻辑（核心）

让我们还原一下这个精心设计的 HTTP 请求跳转链：

Attack Flow Simulation

1. 用户点击邮件链接

-> Redirects to: Webhook.site (A)

2. 建立信任锚点

-> 展示真实 PDF 约 2秒

3. 捕获页面

-> Redirects to: Webhook.site (B)

-> 展示 Fake Microsoft OWA Login

关键操作在第四步：数据外带与回落。

在那个伪造的 OWA 页面里，隐藏了一个 HTML 表单元素。当你输入账号密码并回车时，一段混淆过的 JavaScript 会立刻执行：

1. 发送一个 Beacon 信号（标记页面已打开）。

2. 通过 AJAX 将你的凭证 POST 到黑客的 Webhook 接收端。

3. 最绝的一步：

   脚本执行完后，window.location 再次重定向——跳回那个真实的 PDF 文件链接。

结果就是：用户感觉自己只是因为“登录超时”重新登了一次，然后顺利看到了文件。没有报错，没有红屏，一切如丝般顺滑。

03 不止 OWA：Sophos VPN 也成了重灾区

除了针对邮件系统，APT28 还针对 IT 基础设施下手了。在 2025 年 6 月的一次行动中，他们伪造了 Sophos VPN 的密码重置页面。

这招非常损。他们利用 InfinityFree 托管假页面，通过邮件警告用户“VPN 密码已过期”。

对于很多远程办公的员工来说，VPN 连不上简直是噩梦，所以他们会毫不犹豫地点击链接去“重置”。黑客拿到了你的旧密码，甚至可能拿到了你的一组常用密码习惯。

04 作为 IT 人，我们该如何防御？

看完这个分析，大家应该能感觉到，现在的 APT 攻击越来越“生活化”了，他们混迹在我们的开发工具、免费主机和日常流量中。

针对这种利用合法 Webhook 和 ngrok 的攻击，我给大家几点建议：

1. DNS 层面的过滤 除非你的开发团队明确需要，否则在企业内网环境中，对 webhook.site、ngrok.io 这类泛解析的隧道服务域名进行白名单管理或审计告警。

2. 行为分析（UBA） 传统的特征库很难防住这种动态页面。需要关注短时间内发生的 Outbound 流量异常，特别是只有几 KB 数据包传向未知 Webhook 节点的行为。

3. FIDO2 硬件密钥 这是终极杀招。物理密钥不认假域名，哪怕页面做得再真，域名不对，YubiKey 根本不会响应。

结语

APT28 的这波操作再次提醒我们：攻击者正在把攻击成本降到最低，同时把隐蔽性做到最高。

作为技术人员，我们不能只盯着那些高大上的 0-day 漏洞，这些利用人性弱点和基础架构便利性的“低成本”攻击，往往才是渗透测试和真实攻防中最致命的那个切入点。

💬 互动话题

你在工作中遇到过最“逼真”的钓鱼页面是什么样的？ 欢迎在评论区留言，我们要曝光这些套路！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng《【深度复盘】真文件换走你的真密码？揭秘 APT28 如何利用 Webhook 玩转“盗梦空间”》