文章总结： 威胁行为者劫持高管邮件线程，利用真实商务对话投放钓鱼链接，针对中东企业发动供应链攻击。攻击者通过入侵承包商账户，发送含EvilProxy工具包和多层验证的恶意链接，绕过传统检测窃取凭证。防御建议包括标记动态文件、实施审批分离原则及针对性安全训练。 综合评分： 86 文章分类： 威胁情报,社会工程学,供应链安全,办公安全,安全意识

威胁行为者利用真实的企业电子邮件会话来投放钓鱼链接

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年1月29日 19:01 北京

在一次精心策划的供应链网络钓鱼攻击中，攻击者劫持了高管们正在讨论一份等待最终批准的文件的电子邮件线程。

入侵者伪装成合法参与者，直接回复了一个模仿微软身份验证表单的钓鱼链接。研究人员认为，这是由于某企业承包商的销售经理账户被盗用，从而得以无缝接入到受信任的商务对话中。

此次事件凸显了一种日益猖獗的攻击策略：攻击者不再精心炮制钓鱼邮件，而是利用企业真实的通信信息进行攻击。分析显示，到2026年1月初，此次事件与一场自2025年12月起活跃的、主要针对中东企业的更大规模攻击活动存在关联。

在 ANYRUN 沙箱中测试的样本暴露了 EvilProxy 钓鱼工具包，这是一种具有代理感知能力的钓鱼工具，可以绕过传统的基于会话的检测，而 TI 查询证实了基础设施的重叠。

攻击机制和执行链

此次攻击通过层层叠加的社会工程手段展开。首先，攻击者向承包商发送了一封供应链攻击（SCA）钓鱼邮件。这封邮件随后被转发七次，随着恶意信息在内部渠道的扩散，其可信度不断提升。

最后一条回复中嵌入了一个钓鱼链接，指向：

1. 受 Cloudflare Turnstile CAPTCHA 保护的反机器人登录页面。
2. 这是一个带有另一层 Turnstile 人工验证层的钓鱼页面。
3. EvilProxy部署，通过中间人代理捕获凭据。

该攻击链模仿合法的 Microsoft 365 流程，使用带有嵌入式脚本的动态 HTML/PDF 附件。无需零日漏洞或恶意利用；成功的关键在于建立商业信任和劫持对话。其基础设施规模堪比网络钓鱼即服务(PhaaS) 平台，采用租用域名和机器人防护措施来过滤分析人员。

ANYRUN 沙箱引爆可视化了整个攻击链：网络回调到 C2 服务器、凭证泄露和会话令牌窃取——所有这些都在 60 秒内完成。

调查结果显示，受害者人数已达数十人，且主要集中在中东地区，这可能与该地区的金融和能源行业有关。EvilProxy 在 2023 年首次亮相后再次出现，凸显了 PhaaS（黑客即服务）的发展：模块化套件现在集成了 Turnstile 和地理围栏技术，使得打击行动更加复杂。

与技术漏洞不同，这些攻击利用的是人为工作流程。被盗用的承包商账户可以发送“看似完美”的电子邮件，绕过DMARC和过滤器。随着远程办公使异步审批成为常态，企业面临的风险也随之增加。

通过工艺强化进行防御：

• 标记包含动态内容的 HTML/PDF 文件；在交互前将可疑文件放入沙箱。
• 贯彻四眼原则：启动与批准分开。
• 通过模拟被劫持线程的逼真 SCA 模拟进行训练。

IOCs

| Category | Indicators | | — | — | | URI Pattern | POST ^(/bot/ | | Domains | himsanam[.]com bctcontractors[.]com studiofitout[.]ro st-fest[.]org komarautikat[.]hu eks-esch[.]de avtoritet-car[.]com karaiskou[.]edu[.]gr | | Domain Pattern | ^loginmicrosoft* |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《威胁行为者利用真实的企业电子邮件会话来投放钓鱼链接》