一个技术老练的威胁组织借一家网络安全巨头的声誉 “反戈一击”,发起了一场针对性鱼叉式钓鱼攻击行动 —— 该组织仿冒趋势科技(Trend Micro) 的名义,图谋入侵国防、能源及化工领域的相关机构。趋势科技发布的一份新报告显示,2025 年 11 月,代号为SHADOW-VOID-042的威胁组织不仅将关键基础设施列为攻击目标,还试图以趋势科技的品牌形象为诱饵,渗透趋势科技及其旗下子公司的系统。
这场攻击行动采用了一种经典却十分奏效的欺骗手段:伪造紧急安全公告。目标用户收到的钓鱼邮件,主题多为 “重要通知:趋势科技安全公告及系统防护措施” 之类的内容,催促用户修复一个根本不存在的漏洞。
钓鱼邮件中谎称:“我们发现部分版本的趋势科技 Apex One 网页信誉服务模块存在安全漏洞,你的电脑上可能正安装着该模块”。受害者会被引导至一个仿冒趋势科技官网风格的钓鱼网站,该网站的伪装标识为 **“TDMSEC”**。
这并非一场 “广撒网、碰运气” 的攻击。研究人员指出:“该攻击行动采用多阶段攻击策略,每个阶段的操作都针对目标设备量身定制,且仅向特定目标投放中间载荷”。
此次攻击浪潮似乎是某一大型攻击行动的第二阶段。趋势科技的研究人员高度确信,2025 年 11 月的这次攻击,与同年 10 月的另一轮攻击存在关联 —— 后者采用了完全不同的情感诱导手段,即职场骚扰与学术研究相关主题。
在 10 月的攻击中,企业高管与人力资源部门员工成为主要目标,钓鱼邮件主题包括 “机密:未解决性骚扰投诉的升级通报” 以及 “管理层不当行为调查报告” 等。报告解释称:“这类人力资源相关的投诉邮件,目标用户通常难以忽视,因为真实的投诉也可能由希望匿名的举报者发出”。
尽管该组织目前的临时代号为 SHADOW-VOID-042,但种种迹象表明,这是一个业界熟知的对手。其攻击战术与Void Rabisu 组织(又称 ROMCOM 或 Storm-0978)存在高度重合 —— 这是一个混合型威胁组织,以结合网络犯罪与间谍活动为特点,且被认为与俄罗斯相关势力存在关联。
研究人员指出:“该攻击行动的多个环节,都与 Void Rabisu 组织的攻击特征相吻合”。不过,由于攻击被提前阻断,目前尚无法确认二者的明确关联。“趋势科技的监测数据中,未发现最终载荷的踪迹”,这使得分析人员无法判断该组织是否计划部署 Void Rabisu 组织标志性的 ROMCOM 后门程序。
此次攻击链路展现出新旧攻击手段结合的特点。受害者点击恶意链接后,会被重定向至一个仿冒 Cloudflare 的页面,该页面会伪装成 “检测浏览器安全性” 的界面。与此同时,攻击者会在后台部署 JavaScript 漏洞利用代码。
值得注意的是,研究人员还原出的一个漏洞利用程序,针对的是CVE-2018-6065 漏洞—— 这是一个存在多年的 Chrome 浏览器旧漏洞。报告指出:“在实验室测试中,我们检测到了这款 2018 年的老旧 Chrome 漏洞利用程序,但在实际攻击行动中,攻击者很可能使用了更新的漏洞利用工具”。这一现象表明,攻击者可能会选择性地仅向高价值目标投放更新、更具价值的零日漏洞利用工具,以避免这类工具的泄露与失效。
发表评论
您还未登录,请先登录。
登录