文章总结： 2026年3月,欧洲安全公司Outpost24遭七阶段钓鱼攻击,攻击者伪造摩根大通邮件,通过DKIM签名绕过验证,经思科/Nylas合法服务重定向,利用被入侵服务器和过期域名,在Cloudflare掩护下构建逼真微软登录页窃取高管凭证。溯源显示与Kratos钓鱼即服务工具包相关,揭示现代钓鱼已演变为复杂多阶段战役,安全厂商因被客户广泛信任而成为高价值目标,需重新审视信任边界与访问权限。 综合评分： 94 文章分类： 威胁情报,社会工程学,WEB安全,应急响应,漏洞分析

太岁头上动土：一场瞄准安全公司高管的七阶段钓鱼战役

原创

网空闲话 网空闲话

网空闲话plus

2026年3月18日 06:40 北京

2026年3月13日，欧洲网络安全公司Outpost24的威胁情报团队检测并阻断了一场精心策划的钓鱼攻击。攻击者将目标锁定为公司一位C级高管，试图窃取其微软凭证。这场攻击之所以引起行业震动，不仅因为它指向一家以防御此类威胁为使命的安全厂商，更因为它构建了一条长达七层的重定向链——从伪造的摩根大通邮件开始，层层利用思科、Nylas等合法服务及被入侵的基础设施，最终在Cloudflare的掩护下呈现出一个足以乱真的微软登录页面。

第一阶：借尸还魂——DKIM签名的虚假信任

攻击始于一封伪装成摩根大通的电子邮件。邮件被嵌入一个已有的邮件对话线程中——这是社会工程学的经典手法，用以消除接收者的戒备。正文写道：“有一份文件供您审阅和签名。”

Outpost24的分析显示，这封邮件通过了微软365邮件保护系统的身份验证。邮件头中包含了两个有效的DKIM签名：一个来自域名em.37nmtc.com，另一个与亚马逊简单邮件服务（SES）的基础设施关联。尽管发件人策略框架（SPF）记录检查结果为“无”，但由于DKIM验证成功，基于域名的消息认证、报告和一致性（DMARC）认证仍判为通过。对于邮件网关而言，这封邮件显得完全合法且可信。

第二阶：思科护航——用信任对抗信任

邮件中“查看文档”按钮所附的链接，指向一个思科的官方域名：secure-web.cisco.com。这个域名通常用于重写邮件中的链接，确保收件人不会直接收到外部URL，除非链接已被思科安全邮件网关判定为安全。

具有讽刺意味的是：一旦攻击者能让邮件通过思科安全邮件网关的检查，且链接未被标记为恶意，他们就获得了一个极有价值的资产——一个托管在思科基础设施内的重定向链接。用户天然信任这个域名，而许多基于信誉的检测系统也会将其放过。

当受害者点击链接，请求被发送至思科安全网络基础设施，服务器返回一个HTTP 302重定向，将受害者引向下一站：tracking.us.nylas.com。思科服务器响应的头部包含了Server: openresty/1.27.1.2和Talos-Dc-Id: 3等信息，但这一切对用户透明。

第三阶：Nylas接力——合法API的隐身衣

Nylas是一款广泛使用的邮件API平台，为开发者提供邮件同步、追踪和自动化功能。攻击者滥用了该平台的链接追踪和重定向特性。

当请求抵达Nylas基础设施，系统立即执行又一次HTTP 301重定向。这一次，受害者被引向一个看似PDF文档的URL：hxxps://infra.infratechcorpsolutionllp.com/MQadYJ7z29BJTL.pdf。通过思科和Nylas这两家知名服务的链式重定向，攻击者成功让链接通过了大多数自动化安全过滤器的检查——这些域名的日常流量庞大，难以被简单封禁。

第四阶：入侵之躯——印度公司的服务器沦为跳板

infratechcorpsolutionllp.com属于一家看似合法的印度软件开发公司。然而，子域名infra.infratechcorpsolutionllp.com的行为极其可疑。Outpost24的研究人员发现，对该子域名上任何非空路径的请求，都不会返回真正的PDF文档，而是返回另一个302重定向。

主域名与infra子域名解析至同一托管基础设施，这表明攻击者很可能已侵入该公司的服务器，并植入了恶意重定向逻辑。此次重定向的目标是：https://www-0159.com/。

第五阶：旧瓶新酒——重新注册的过期域名

www-0159.com的域名历史揭示了攻击者的又一重伪装。该域名最初注册于2017年，由中国一家实体持有，多年来一直存续。其上一个TLS证书于2026年3月7日过期，相关DNS记录随后被释放。

2026年3月12日——就在攻击被发现的前一天——该域名被重新注册，并于同一天获得多个新的TLS证书。这一时间点强烈暗示，攻击者刻意寻找并重新激活了一个曾有过合法历史的域名，利用其残留的信誉降低安全系统的警觉。从这一跳，请求被再次重定向至最终阶段：tradixyu.cfd。

第六阶：人机对决——Cloudflare后的验证页

tradixyu.cfd托管在Cloudflare网络之后，这使得追踪源服务器变得困难，也为攻击者提供了额外的保护层。当受害者抵达此处，看到的不是钓鱼页面，而是一个要求手动点击的“浏览器验证”页面。

这一设计旨在阻断自动化分析工具、沙盒环境和安全爬虫。只有真实用户完成验证，页面才会继续加载。验证通过后，页面短暂显示“系统符合要求”，然后悄无声息地将受害者引向真正的陷阱。

第七阶：最终收割——以假乱真的微软登录页

最终呈现的是一个极其逼真的微软365登录页面。页面甚至包含一个模仿Outlook加载动画的虚假进度条，以及一个检查用户输入是否为有效电子邮件地址的前端逻辑。更狡猾的是，该网站会在后台尝试使用输入的凭证进行一次真实的微软登录，以验证凭证的有效性——这是攻击者确保“收获”质量的关键一步。

详细策略和过程可细读参考资源2。

攻击溯源：Kratos钓鱼即服务工具包

Outpost24高级威胁情报分析师Hector Garcia向媒体证实，此次攻击所用的技术与一个名为Kratos的钓鱼即服务（PhaaS）工具包高度吻合。该工具包因提供模仿合法站点、绕过沙盒检测、以及便捷的运营管理功能而在网络犯罪市场中日益流行。

“我们的威胁情报团队获取并分析了该钓鱼工具包的加密版本及其配置，”Garcia表示。“通过将这些样本与已知样本比对，我们确信其与Kratos工具包存在关联。但由于该基础设施在攻击被发现后迅速被拆除，我们无法将此次活动归因于特定的威胁组织。”

行业视角：为何攻击安全厂商？

Hoxhunt联合创始人兼首席执行官Mika Aalto用一个比喻点明了攻击者的策略：“潜入邻居家的院子比强攻正门要容易得多。”安全厂商因其与客户环境的深度集成，其自身系统往往被客户广泛信任。一旦攻击者攻破安全厂商的凭证或基础设施，便可能借此渗透到众多客户网络中。

Keeper Security首席执行官Darren Guccione补充道：“传统上，企业评估供应商的标准是其产品是否安全或符合合规要求。但现代攻击表明，更大的风险在于供应商的系统一旦融入日常运营，就被授予了过度的访问权限。”

结语：现代钓鱼攻击的演进

Outpost24产品总监Martin Jartelius在评论此次攻击时指出：“威胁行为者可用的攻击数量和质量正在显著增长。认为仅靠口令，甚至口令加标准多因素认证，就足以抵御持久且资源充足的攻击者的观点，越来越难以维持。”

这场七阶段攻击没有使用任何零日漏洞，却通过巧妙组合DKIM欺骗、合法服务重定向、被入侵服务器和过期域名复活等技术，构建了一条几乎无法被自动检测工具识别的攻击链。它的成功（尽管被提前发现）预示着一个趋势：网络钓鱼正从单一诱饵演变为复杂的多阶段战役，而安全行业自身也必须重新思考信任的边界。

参考资源

1、https://specopssoft.com/blog/phishing-campaign-cisco/

2、https://www.darkreading.com/threat-intelligence/hackers-target-cybersecurity-firm-outpost24-phish

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《太岁头上动土：一场瞄准安全公司高管的七阶段钓鱼战役》