精心佈局｜黑客攻擊網安公司管理層　七重偽裝避過安全審查

企業網絡安全防護日益嚴密，黑客的攻擊手法亦進化到更狡猾。近期一種名為「Kratos」的釣魚即服務（Phishing-as-a-Service）工具包在黑客圈子中崛起，其特點是透過極度複雜的「七重跳板」技術，將惡意連結重重收藏在合法服務之中，藉此避過企業重金部署的電郵安全防護系統。早前，瑞典知名漏洞管理及身份安全公司 Outpost24 的一名高層管理人員，便差點成為這場精心策劃的高級釣魚攻擊的受害人。

偽裝成 JP Morgan 減低戒心

這次攻擊事件由 Outpost24 的子公司 Specops Software 揭露，雖然系統及早識別並成功攔截了攻擊，未有造成任何系統破壞或用戶資料外洩，但從 Specops Software 公開的技術細節，卻充分展示了現時黑客在迴避偵測方面的驚人手段。有別於一般粗製濫造的釣魚電郵，這次黑客選擇偽裝成跨國金融巨頭 JP Morgan，並巧妙地將釣魚郵件無縫插入目標人物現有的電郵對話串中，邀請對方「審閱並簽署文件」，極大程度地降低了受害者的戒心。

為了確保這封帶有惡意連結的電郵能夠順利送達目標人物的收件箱，黑客下了一番苦功。首先，黑客為電郵加上了雙重 DKIM（DomainKeys Identified Mail）數碼簽名，瞞騙電郵防護系統的 DMARC 認證機制，誤判其為來源可靠的合法電郵。

更令人防不勝防的是黑客對惡意連結的「洗白」過程。當受害者點擊「審閱文件」，連結並非直接指向釣魚網站，而是首先連接到知名科技公司 Cisco 的合法網域（secure-web.cisco.com）。這個網域原本是 Cisco 用來驗證並重寫安全連結的工具，怎料卻便利了黑客的入侵；隨後，連結會再次跳轉至另一個合法的電郵 API 平台 Nylas。透過這種將惡意流量混入合法服務的手段，傳統依賴信譽評分的自動化攔截系統便會完全失效。

順利通關後，迴避流程仍未結束。連結會繼續跳轉至一家印度開發公司的子網域，然後再轉向一個由中國實體公司於 2017 年註冊、並在攻擊前夕剛被重新啟用及更新安全憑證的網域。最後，受害者會被引導至隱藏在 Cloudflare 伺服器背後的最終釣魚網頁。

作案手法與伊朗黑客集團吻合

為了防止安全人員的逆向分析，該網站甚至會先進行一次瀏覽器環境驗證，確認是真人點擊後才會顯示出一個極度逼真的 Microsoft 365 登入頁面。這個假頁面不僅有著與 Outlook 一模一樣的排版，更會即時驗證受害者輸入的電郵格式，並在背後同步嘗試真實登入，以確認盜取回來的帳號密碼是否有效。

Specops Software 強調雖然目前尚未能將這次攻擊與特定黑客集團連線，但其作案手法與近期頻繁攻擊美國機構的伊朗黑客集團高度吻合。面對如此處心積慮、技術高超的攻擊鏈，企業除了依賴自動化安全工具外，更必須持續提升員工的網安意識，對任何要求輸入帳號憑證的突發要求，必須保持高度懷疑，才能避免跌入黑客的重重陷阱之中。

資料來源：https://www.securityweek.com/security-firm-executive-targeted-in-sophisticated-phishing-attack/