摘要
随着数字化办公环境的普及,网络攻击手段正经历从传统恶意软件向“无文件”及“合法工具滥用”的深刻转型。2026年3月,微软威胁情报团队披露了一系列针对美国税务季的复杂网络钓鱼活动,这些活动不仅利用了社会工程学原理窃取凭证,更显著地呈现出滥用合法远程监控和管理(RMM)工具(如ScreenConnect、Datto、SimpleHelp等)进行持久化控制的趋势。本文基于微软发布的最新威胁报告,深入剖析了此次波及29,000名用户的大规模钓鱼攻击的技术链条,重点探讨了攻击者如何利用云基础设施(Amazon SES、Cloudflare)、钓鱼即服务(PhaaS)平台以及多重跳转技术来规避检测。文章详细解构了从初始访问到后渗透阶段的攻击逻辑,揭示了“生活化陆地”(Living off the Land)策略在RMM滥用中的具体体现。针对此类高级持续性威胁,本文提出了基于零信任架构的防御体系,包括严格的条件访问策略、RMM资产审计机制以及针对二维码和多重跳转链接的深度检测方案。反网络钓鱼技术专家芦笛指出,当前防御的核心难点在于区分合法运维行为与恶意入侵,这要求安全体系从单纯的特征匹配转向行为分析与上下文感知的深度融合。
关键词:网络钓鱼;远程监控管理(RMM);钓鱼即服务(PhaaS);屏幕连接(ScreenConnect);零信任;社会工程学
1. 引言
在网络安全领域,攻击面的演变始终遵循着“成本最小化、收益最大化”的经济逻辑。近年来,随着端点检测与响应(EDR)系统和传统反病毒软件的广泛部署,直接投递恶意二进制文件的攻击方式成功率显著下降。取而代之的是,攻击者开始大规模转向利用系统自带的合法工具或企业广泛部署的第三方管理软件进行攻击,这种策略被称为“生活化陆地”(Living off the Land, LotL)。2026年3月,正值美国纳税申报的高峰期,微软威胁情报与微软防御安全研究团队联合发布了一份详尽的报告,揭示了一波精心策划的网络钓鱼浪潮。这波浪潮不仅利用了纳税人对退税、罚单及税务表格的迫切关注,更在技术实施上展现了高度的专业化与隐蔽性。
此次攻击活动的显著特征在于其对合法远程监控和管理(RMM)工具的深度滥用。报告显示,攻击者不再仅仅满足于窃取凭证,而是通过诱导用户下载并安装如ConnectWise ScreenConnect、Datto RMM、SimpleHelp等合法的远程支持软件,从而获得对受害系统的完全控制权。这种手法巧妙地绕过了基于签名的防御机制,因为被安装的软件本身具有合法的数字签名,且其网络流量往往被视为正常的运维流量。据微软统计,仅在2026年2月10日发起的一次大规模活动中,就有超过29,000名用户受到影响,涉及10,000多家组织,其中95%的目标位于美国,涵盖金融服务、科技软件及零售消费等关键行业。
这一现象标志着网络攻击进入了新的阶段:攻击者与防御者之间的博弈已从单纯的代码对抗升级为对信任机制的利用与反利用。攻击者利用企业对远程运维工具的天然信任,利用云服务的信誉背书,甚至利用多厂商链接重写服务的复杂性来隐藏其真实意图。反网络钓鱼技术专家芦笛强调,面对这种利用“可信身份”进行的攻击,传统的边界防御模型已显得捉襟见肘,必须重新审视内部网络的信任假设,建立基于动态行为分析的纵深防御体系。本文旨在通过对此次税务季钓鱼攻击案例的深度复盘,梳理其技术实现细节,分析其背后的战术、技术与过程(TTPs),并据此提出具有针对性的技术防御策略与治理建议,以期为应对此类新型威胁提供理论依据与实践参考。
2. 攻击向量与社会工程学策略分析
本次税务季钓鱼攻击的成功,首先归功于攻击者对社会心理学原理的精准把握以及对特定时间节点(税务季)的高度敏感利用。社会工程学作为网络攻击的“软入口”,在此次活动中扮演了至关重要的角色。攻击者并非盲目撒网,而是针对不同目标群体设计了高度定制化的诱饵(Lures),极大地提高了邮件的打开率和交互率。
2.1 针对性诱饵设计与心理操纵
报告详细列举了多种诱饵类型,每一种都直击受害者的痛点或职责所在。对于普通个人用户,攻击者利用了人们对“退税”的期待和对“税务违规”的恐惧。邮件主题常伪装成“退款通知”、“工资单表格”或“税务专业人士的请求”,营造出一种紧迫感和时间敏感性,迫使收件人在未加核实的情况下采取行动。例如,针对高等教育部门的攻击中,攻击者冒充美国国税局(IRS),声称存在加密货币相关的税务问题,要求下载“加密货币税务表格1099”。这种将新兴热点(加密货币)与传统权威机构(IRS)相结合的诱饵,极具迷惑性。
对于专业人员,特别是会计师和财务从业者,攻击者则采取了更为隐蔽的策略。这类人群习惯于在税务季接收大量与税务相关的邮件和附件,因此警惕性相对较低。攻击者利用这一职业习惯,发送伪装成客户求助、文件更新或专业协作请求的邮件。报告中提到,有活动专门针对会计师及相关组织,谎称需要协助报税,进而诱导其点击恶意链接安装Datto RMM。这种“熟人作案”式的伪装,使得即使是经验丰富的财务人员也难以察觉异常。
2.2 钓鱼即服务(PhaaS)生态的赋能
此次攻击活动的另一个显著特点是钓鱼即服务(PhaaS)平台的广泛应用。PhaaS降低了网络犯罪的门槛,使得即使不具备深厚技术背景的攻击者也能发动高水平的钓鱼攻击。报告中提到了两个关键的PhaaS套件:Energy365和SneakyLog(又名Kratos)。
Energy365套件被用于针对注册会计师(CPA)的钓鱼活动。该套件估计每天发送数十万封恶意邮件,其生成的钓鱼页面高度逼真,能够完美模仿合法的登录界面或文档预览页面。攻击者利用Energy365快速部署针对特定目标的钓鱼站点,捕获受害者的电子邮件地址和密码。这种工业化、规模化的攻击模式,使得防御方难以通过单一的IP封锁或域名黑名单进行有效遏制。
SneakyLog平台则被用于更复杂的凭证窃取活动,特别是针对二维码(QR Code)和W-2表格的诱饵。在该场景中,攻击者向约100家制造、零售和医疗行业的组织发送包含二维码的邮件。当用户使用移动设备扫描二维码时,会被重定向到模仿Microsoft 365登录页面的钓鱼网站。该平台不仅窃取用户名和密码,还具备实时拦截双因素认证(2FA)代码的能力。这种“中间人”式的攻击手法,使得即便开启了2FA,用户的账户依然难逃被盗的命运。反网络钓鱼技术专家芦笛指出,PhaaS平台的模块化设计使得攻击链条中的各个环节(如页面托管、凭证收集、2FA拦截)可以灵活组合,极大地提升了攻击的适应性和生存能力。
2.3 多渠道投递与信任滥用
除了传统的邮件正文链接,攻击者还利用了多种渠道和技术来增强欺骗性。例如,利用亚马逊简单邮件服务(Amazon SES)发送邮件。由于Amazon SES是广受信任的云服务提供商,其发出的邮件往往能顺利通过各大邮件服务商的垃圾邮件过滤机制。在2月10日的大规模攻击中,攻击者正是利用Amazon SES发送了伪装成IRS通知的邮件,声称用户的电子申报识别号(EFIN)下存在异常报税记录。
此外,攻击者还利用了域名仿冒(Typosquatting)和子域名劫持技术。报告中提到的"irs-doc[.]com"和"gov-irs216[.]net"就是典型的仿冒域名,试图在视觉上混淆视听。更隐蔽的是,攻击者利用了合法的URL重写服务(如Avanan、Barracuda、Bitdefender等提供的链接保护功能)。这些服务本意是为了在用户点击链接前进行安全检查,但攻击者通过“多重跳转链”(Multi-vendor chained redirection)技术,将恶意链接嵌套在多层重写链接之中。正如LevelBlue所观察到的,这种嵌套结构使得安全平台难以重构完整的重定向路径,从而无法识别最终的恶意目的地。这种对安全基础设施本身的滥用,体现了攻击者极高的战术素养。
3. 技术实现机制与载荷投递分析
本次攻击活动的核心技术特征在于其载荷投递机制的复杂性和对合法工具的深度整合。攻击者不再依赖传统的可执行文件(.exe)直接投递,而是构建了一套包含云基础设施、动态内容服务和合法远程工具在内的完整攻击链。
3.1 智能重定向与反自动化机制
在2月10日的大规模攻击中,攻击者展示了一种高度精细化的载荷投递流程。邮件中包含一个名为“Download IRS Transcript View 5.1”的按钮,点击后并不直接下载文件,而是重定向到一个名为smartvault[.]im的域名。该域名伪装成知名的文档管理平台SmartVault,进一步降低了用户的戒心。
更为关键的是,该钓鱼站点利用了Cloudflare的服务来部署反自动化机制。Cloudflare不仅能够提供高性能的内容分发,其内置的机器人挑战(Bot Challenge)和防火墙规则可以有效阻挡安全研究人员使用的自动化扫描器和沙箱环境。只有当检测到真实的人类用户交互(如鼠标移动轨迹、点击行为等)时,服务器才会返回主要的恶意载荷。这种“人机验证”机制极大地增加了动态分析和自动化检测的难度,确保了恶意软件只会在真实的受害者环境中运行。
3.2 合法RMM工具的武器化
一旦用户通过验证并点击下载地址,系统将下载并安装一个经过恶意包装的ScreenConnect实例。ScreenConnect(现属ConnectWise)是一款广泛使用的合法远程监控和管理软件,允许IT管理员远程控制用户桌面、传输文件和执行命令。由于其功能强大且拥有合法的数字签名,大多数终端安全软件将其视为可信程序,不会进行拦截。
攻击者利用ScreenConnect的特性,实现了对受害系统的持久化访问。安装完成后,攻击者可以获得与合法管理员相同的权限,进行以下操作:
数据窃取:浏览、复制和传输敏感文件,包括税务文档、财务报表和客户数据。
凭证收割:利用内置的键盘记录功能或内存抓取技术,获取用户的登录凭证。
横向移动:以受感染的主机为跳板,扫描内网其他设备,寻找高价值目标。
后续渗透:下载并执行其他恶意软件,如勒索软件或挖矿程序。
除了ScreenConnect,报告还提到了Datto、SimpleHelp、Teramind等其他RMM工具的滥用案例。例如,在某些活动中,攻击者利用伪造的Google Meet或Zoom页面,诱导用户下载所谓的“软件更新”,实则是Teramind员工监控平台。在另一起案件中,攻击者利用数字邀请函诱饵,引导用户通过虚假的Cloudflare CAPTCHA页面,执行VBScript和PowerShell代码,最终从Google Drive下载名为SILENTCONNECT的.NET加载器,进而部署ScreenConnect。
3.3 无文件攻击与内存注入技术
为了进一步规避检测,部分攻击链条采用了无文件攻击(Fileless Attack)技术。报告描述了一种利用报价主题诱饵的攻击方式:钓鱼邮件附带一个JavaScript投送器(Dropper),该脚本连接外部服务器下载PowerShell脚本。PowerShell脚本随后启动受信任的微软应用程序Aspnet_compiler.exe,并通过反射型DLL注入(Reflective DLL Injection)技术,将XWorm 7.1载荷注入到该进程的内存空间中。
这种技术的优势在于,恶意代码从未以文件形式写入磁盘,而是直接驻留在内存中。由于Aspnet_compiler.exe是系统白名单进程,且注入过程不触发文件创建事件,传统的基于文件签名的防病毒软件很难发现此类威胁。类似的技巧也被用于传播Remcos RAT和NetSupport RAT。反网络钓鱼技术专家芦笛强调,这种“借壳上市”的攻击手法,使得防御焦点必须从静态文件扫描转向对进程行为、内存异常和网络连接的实时监控。
3.4 代码示例:反射型DLL注入的概念验证
为了更清晰地说明攻击者如何利用合法进程进行内存注入,以下提供一个简化的概念性代码示例,展示反射型DLL注入的基本逻辑(注:此代码仅用于学术研究与防御原理演示,严禁用于非法用途):
// 概念性示例:展示反射型DLL注入的逻辑流程
// 警告:此代码片段仅用于教育目的,展示攻击原理以便防御
using System;
using System.Diagnostics;
using System.Runtime.InteropServices;
public class ReflectiveInjectionDemo
{
// Windows API 声明 (简化版)
[DllImport("kernel32.dll")]
static extern IntPtr VirtualAllocEx(IntPtr hProcess, IntPtr lpAddress, uint dwSize, uint flAllocationType, uint flProtect);
[DllImport("kernel32.dll")]
static extern bool WriteProcessMemory(IntPtr hProcess, IntPtr lpBaseAddress, byte[] lpBuffer, uint nSize, out UIntPtr lpNumberOfBytesWritten);
[DllImport("kernel32.dll")]
static extern IntPtr CreateRemoteThread(IntPtr hProcess, IntPtr lpThreadAttributes, uint dwStackSize, IntPtr lpStartAddress, IntPtr lpParameter, uint dwCreationFlags, IntPtr lpThreadId);
public void InjectPayload(string targetProcessName, byte[] maliciousDll)
{
// 1. 查找目标进程 (例如: Aspnet_compiler.exe)
Process[] processes = Process.GetProcessesByName(targetProcessName);
if (processes.Length == 0) return;
Process target = processes[0];
IntPtr hProcess = target.Handle;
// 2. 在目标进程内存中分配空间
IntPtr allocMem = VirtualAllocEx(hProcess, IntPtr.Zero, (uint)maliciousDll.Length, 0x1000 | 0x2000, 0x40); // MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE
// 3. 将恶意DLL写入分配的内存
UIntPtr bytesWritten;
WriteProcessMemory(hProcess, allocMem, maliciousDll, (uint)maliciousDll.Length, out bytesWritten);
// 4. 创建远程线程执行注入的DLL (实际攻击中会计算DLL的入口点)
// 注意:实际反射注入需要解析PE头找到入口点,此处简化为直接执行
CreateRemoteThread(hProcess, IntPtr.Zero, 0, allocMem, IntPtr.Zero, 0, IntPtr.Zero);
Console.WriteLine($"Payload injected into {targetProcessName} (PID: {target.Id})");
}
}
在上述攻击场景中,攻击者会将恶意的XWorm或Remcos载荷编译为DLL,并通过PowerShell脚本调用类似上述逻辑的代码,将其注入到Aspnet_compiler.exe或其他受信任的系统进程中。这种技术不仅绕过了应用白名单,还使得恶意流量混合在正常的应用程序网络通信中,极难被识别。
4. 威胁态势演变与行业影响
此次税务季钓鱼攻击不仅是一次孤立的事件,更是网络威胁态势演变的缩影。报告中的数据和分析揭示了几个关键的趋势,对全球网络安全格局产生了深远影响。
4.1 RMM滥用的爆发式增长
根据Huntress发布的报告,威胁行为者对RMM工具的滥用同比激增了277%。这一数据令人震惊,表明攻击者已经充分认识到合法工具在绕过防御方面的巨大价值。传统的恶意软件往往伴随着明显的特征码和行为模式,容易被现代安全产品拦截。而RMM工具本身就是为企业远程管理设计的,具备强大的系统控制能力,且其网络流量通常被防火墙和安全网关放行。
攻击者甚至发展出了“雏菊链”(Daisy-chaining)战术,即在同一台设备上安装多种不同的RMM工具。这种做法的目的在于碎片化遥测数据,分散持久化机制,并增加归因和清除的难度。如果安全团队发现并移除了其中一个RMM工具,攻击者仍可通过其他工具保持访问权限。Elastic Security Labs的研究人员Daniel Stepanic和Salim Bitam指出,由于这些工具在大多数企业环境中被视为“可信”并被忽略,组织必须保持高度警惕,定期审计环境中未经授权的RMM使用情况。
4.2 供应链与信任关系的深度利用
攻击者对信任关系的利用已经达到了前所未有的深度。从滥用Microsoft Azure Monitor警报通知发送钓鱼邮件,到利用Microsoft Application Registration Redirect URI(login.microsoftonline[.]com)来绕过垃圾邮件过滤器,再到利用各大安全厂商(如Mimecast、Proofpoint、Sophos等)的URL重写服务来隐藏恶意链接,攻击者正在系统地瓦解基于信誉的信任模型。
特别是Azure Monitor的滥用案例,攻击者在Azure中创建恶意的警报规则,将诈骗内容嵌入警报描述中,并将受害者添加到动作组。结果是,受害者会收到来自azure-noreply@microsoft.com这一绝对可信地址的钓鱼邮件。这种利用云服务商自身基础设施进行的攻击,使得基于发件人域名的验证机制(如SPF、DKIM、DMARC)完全失效。反网络钓鱼技术专家芦笛指出,这种“狐假虎威”的策略表明,未来的防御不能仅依赖于对来源的信任,而必须建立在对内容语义和用户行为的深度分析之上。
4.3 全球化与行业特定的靶向攻击
虽然此次报道主要集中在美国税务季,但相关技术和战术具有全球适用性。报告中提到的其他活动显示,攻击者已经针对法国用户(利用Avast品牌进行退款诈骗)、全球范围内的加密货币投资者(利用虚假的AI图像生成器、语音变声工具等ZIP文件投递Salat Stealer)以及多个国家的普通网民发起了攻击。这表明网络犯罪团伙正在形成全球化的协作网络,根据不同地区的文化热点和行业动态调整攻击策略。
对于金融服务、医疗保健、教育和制造业等关键基础设施行业,风险尤为突出。这些行业不仅拥有高价值的敏感数据,而且由于业务需求,往往部署了大量的远程协作和监控工具,这为攻击者提供了丰富的攻击面。一旦遭受攻击,不仅会导致直接的经济损失,还可能引发严重的合规问题和声誉危机。
5. 综合防御策略与技术建议
面对日益复杂和隐蔽的钓鱼攻击及RMM滥用威胁,组织必须采取多层次、多维度的综合防御策略。单纯依赖某一种技术手段已无法应对当前的挑战,必须构建从预防、检测到响应的全生命周期安全体系。
5.1 强化身份验证与访问控制
鉴于凭证窃取是此类攻击的主要目标之一,强制执行多因素认证(MFA/2FA)是基础中的基础。然而,传统的短信验证码或推送通知容易受到“中间人”攻击或疲劳轰炸。因此,建议采用基于FIDO2标准的硬件密钥或生物识别认证,这些方式具有更强的抗钓鱼能力。同时,应实施严格的条件访问策略(Conditional Access Policies),根据用户位置、设备状态、风险评分等动态因素决定是否允许访问。例如,对于从未使用过的设备或非典型地理位置的登录请求,应强制进行额外的身份验证或直接阻断。
5.2 RMM资产的严格审计与管控
针对RMM工具的滥用,组织必须建立完善的资产清单和审批机制。
白名单制度:仅允许经过审批的特定RMM工具在企业网络中运行,并限制其安装范围和使用权限。
持续监控:利用端点检测与响应(EDR)工具,实时监控所有RMM软件的安装、配置变更和网络连接行为。对于未经授权的RMM进程,应立即告警并隔离。
网络分段:将RMM流量限制在特定的管理网段,禁止其直接访问核心业务数据区。通过网络微隔离技术,限制RMM工具的横向移动能力。
定期审查:定期检查所有活跃的远程会话,确保每一次远程访问都有明确的业务需求和授权记录。
5.3 提升邮件与网页内容的检测能力
为了应对利用PhaaS、二维码和多重跳转技术的钓鱼攻击,邮件安全网关和网页过滤系统需要升级检测引擎。
深度内容分析:引入基于人工智能的自然语言处理(NLP)技术,分析邮件内容的语义和情感,识别伪装成紧急通知或权威机构的钓鱼话术。
动态沙箱与浏览器隔离:对所有邮件中的链接和附件进行动态沙箱分析,特别是要模拟人类交互行为以绕过反自动化机制。对于高风险链接,采用远程浏览器隔离(RBI)技术,在云端隔离环境中渲染网页,防止恶意代码接触用户终端。
二维码检测:部署能够解析和检测图片中二维码的安全工具,阻止包含恶意URL的二维码进入用户视野。
链接展开与重构:增强对多重跳转链接的解析能力,尝试还原完整的重定向路径,识别隐藏在层层伪装下的最终恶意目的地。
5.4 用户意识培训与应急演练
技术防御固然重要,但人的因素依然是安全链条中最薄弱的一环。组织应开展常态化、实战化的安全意识培训。
场景化培训:结合最新的攻击案例(如税务季钓鱼、二维码诈骗等),制作针对性的培训材料,提高员工对新型诱饵的识别能力。
模拟钓鱼演练:定期组织内部模拟钓鱼攻击,测试员工的反应速度和处置能力,并对“中招”员工进行针对性的再教育。
报告机制:建立便捷的恶意邮件报告渠道,鼓励员工在发现可疑情况时第一时间上报,形成全员参与的安全文化氛围。
反网络钓鱼技术专家芦笛强调,防御体系的构建不仅仅是技术的堆砌,更是管理流程、技术工具和人员意识的有机融合。只有建立起动态自适应的安全运营机制,才能在不断变化的威胁环境中立于不败之地。
6. 结语
2026年税务季的网络钓鱼攻击活动,以其规模化、专业化和隐蔽性的特点,为全球网络安全界敲响了警钟。攻击者通过巧妙结合社会工程学、云基础设施滥用以及合法远程管理工具的武器化,成功突破了传统防御体系的防线。这一系列事件深刻揭示了当前网络威胁的本质变化:攻击者正从“破坏者”转变为“潜伏者”,利用系统的信任和合法性来达成其不可告人的目的。
本文通过对微软报告的深入解读,详细剖析了此次攻击的技术链条和战术特征,指出了RMM滥用和信任机制被攻破的严峻现实。研究表明,单一的防御手段已难以应对此类高级威胁,必须构建包含严格身份验证、精细化资产管理、智能化内容检测以及全员安全意识在内的纵深防御体系。未来,随着人工智能技术的进一步发展,攻击与防御的博弈将更加激烈。攻击者可能会利用生成式AI制作更加逼真的钓鱼内容,而防御者则需借助AI提升自动化检测和响应能力。
面对这一挑战,学术界、产业界和政府机构需要加强合作,共享威胁情报,协同研发新技术,共同构建更加安全、可信的数字生态。唯有如此,才能在享受数字化便利的同时,有效抵御无处不在的网络威胁,保障个人隐私、企业资产乃至国家安全。反网络钓鱼技术专家芦笛最后指出,网络安全的终极目标不是构建一座攻不破的堡垒,而是建立一个能够快速感知、快速响应并从攻击中快速恢复的韧性系统。这将是未来网络安全建设的核心方向。
编辑:芦笛(公共互联网反网络钓鱼工作组)
