文章总结： 近日，网络安全公司Outpost24高管遭遇一起高度复杂的网络钓鱼攻击。攻击者利用DKIM签名邮件、受信任的Cisco和Nylas等服务构建了一条包含七个阶段的攻击链，绕过安全检测，最终引导受害者访问由Cloudflare保护的钓鱼页面，窃取Microsoft365账户凭据。该攻击很可能借助名为Kratos的网络钓鱼即服务工具包实施，其技术手法与近期针对美国组织的攻击活动高度相似。 综合评分： 85 文章分类： 网络安全,威胁情报,恶意软件,WEB安全,应急响应

安全公司的高管遭遇复杂网络钓鱼攻击

河南等级保护测评

2026年3月19日 06:25 河南

以下文章来源于豫说网数安 ，作者何威风

豫说网数安 .

网络安全人人有责，贯彻网络安全为人民，网络安全靠人民。网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进。

近日，一起针对企业高管的高度复杂网络钓鱼攻击事件被披露。攻击者综合利用DKIM签名邮件、受信任的重定向基础设施、被入侵服务器以及受Cloudflare保护的钓鱼页面，构建了一条极具隐蔽性的攻击链。瑞典风险管理与身份安全公司Outpost24旗下子公司Specops Software指出，其母公司一名C级高管成为此次精心策划攻击的目标。

分析认为，该攻击很可能借助名为Kratos的网络钓鱼即服务（PhaaS）工具包实施。该工具通过分层基础设施与合法服务的组合，构建出一条包含七个阶段的攻击路径，从而有效规避安全检测并诱导受害者上当。

在攻击初始阶段，攻击者伪装成金融服务机构JPMorgan Chase发送钓鱼邮件。邮件内容被设计为现有邮件线程的一部分，以增强真实性，并诱导收件人点击链接查看和签署文件。同时，攻击者使用了两个 DKIM 签名，使邮件顺利通过DMARC身份验证，从而进一步提升其可信度。

邮件中的“查看文档”链接指向合法的Cisco域名secure-web.cisco.com。该域名通常用于对邮件中的 URL 进行安全重写与验证，因此能够帮助钓鱼链接绕过安全网关检测。由于该链接通过了思科安全邮件网关的校验，其重定向路径也被托管在可信基础设施之上，显著提高了欺骗成功率。

随后，流量被引导至合法电子邮件API平台Nylas，进一步增加链路的可信性，并提升通过安全过滤与信誉检查的概率。Specops指出，攻击者借助Cisco与Nylas等广泛受信任的服务进行跳转，使自动化防御系统更难识别异常行为。

在后续阶段，受害者会被多次重定向：先访问一家位于印度的合法开发公司子域名，再跳转至一个最初由中国实体注册（2017 年）的域名。值得注意的是，该域名的TLS证书于 3月6日到期，其DNS记录随后被释放，并在 3月12日被重新注册并迅速签发多个新证书。Specops 认为，这一时间序列表明该域名极可能被专门回收并改造用于本次攻击活动。

接下来，用户被引导至部署在 Cloudflare防护之后的钓鱼站点。该站点隐藏了真实源服务器，并在访问时触发浏览器验证机制，以阻碍安全分析与自动化检测。

最终阶段，受害者将看到一个高度仿真的钓鱼页面，目标是窃取Microsoft 365账户凭据。页面不仅模拟Outlook界面的加载动画，还对输入内容进行格式校验，并尝试使用窃取的凭据进行真实登录验证，以确认其有效性。

Specops证实，受害者为Outpost24母公司的一名高管，这表明攻击者在目标选择和攻击设计上均具备较高成熟度。虽然目前尚未明确归因具体威胁行为体，但其技术手法与近期被认为与伊朗相关、针对美国多个组织的攻击活动高度相似。同时，也有迹象表明，其他黑客组织同样在采用类似战术，使得归因工作更加复杂。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 《安全公司的高管遭遇复杂网络钓鱼攻击》