“高危钓鱼链”悄然来袭：一封邮件竟能绕过层层防火墙？

你有没有收到过这样一封邮件——主题是“财务合规提醒”“合同即将到期”或“系统安全补丁更新”，附件是一个看似普通的HTML文件，或是标着“解压密码见下文”的压缩包？如果你点了，可能正中黑客下怀。

近日，全球知名网络安全研究机构FortiGuard实验室披露了一起被评定为“高严重度”的多阶段钓鱼攻击活动。该行动技术复杂、隐蔽性强，已成功绕过多款主流安全网关和沙箱检测，目标直指企业财务、法务及IT运维等关键岗位。幕后攻击者利用“HTML文件投毒”“内存拼接载荷”“地理识别规避”等手段，构建了一条完整的“初始访问即服务”（Initial Access as a Service）链条，为后续勒索软件或商业邮件诈骗（BEC）铺平道路。

这场代号为“幽灵链”（Phantom Chain）的攻击，正在挑战传统网络安全防线的极限。

伪装成“合规通知”的数字地雷

与以往粗暴的“中奖通知”或“账户异常”不同，这次的钓鱼邮件写得极为专业。据FortiGuard分析，攻击者精心模仿企业内部通知口吻，主题多为：

“2025年度供应商合同续约提醒”

“财务系统合规升级通知”

“紧急安全补丁请查收”

附件则分为两类：一是直接嵌入恶意脚本的HTML文件；二是受密码保护的ZIP/RAR压缩包，密码通常以明文写在邮件正文中，如“密码：2025update”。

“这种设计很狡猾。”公共互联网反网络钓鱼工作组技术专家芦笛指出，“用密码保护压缩包，是为了绕过邮件网关的静态扫描——因为加密后内容不可读，很多系统会直接放行。而HTML文件本身是合法格式，常被用于产品手册或通知页面，容易被误认为无害。”

但一旦用户解压或打开HTML文件，真正的攻击才刚刚开始。

“HTML投毒”+“内存拼接”：黑客的“无痕作案”

传统恶意软件通常以.exe或.docm文件形式存在，容易被杀毒软件识别。而此次攻击采用了一种名为HTML Smuggling（HTML投毒）的技术——攻击者将恶意代码拆分成多个看似无害的字符串，隐藏在HTML文件的JavaScript脚本中。

当用户打开该HTML页面时，浏览器会在内存中动态重组这些代码片段，拼接成一个完整的下载器程序，并立即执行，从远程服务器拉取下一阶段载荷。整个过程不写入磁盘，因此能有效绕过依赖文件扫描的防病毒引擎和静态沙箱。

“这就像是把炸弹的零件分散邮寄，到了目的地才组装引爆。”芦笛形象地比喻，“传统安检查的是整件武器，但对‘零件组合’无能为力。”

更令人警惕的是，攻击者还加入了地理识别规避机制。恶意脚本会先检测用户的IP地址、语言设置或时区信息，如果发现不在目标企业所在区域（如仅针对亚太或欧洲企业），就会主动投递一个“干净版本”——即不执行任何恶意操作，仅显示一条虚假的“页面加载失败”提示。

“这是典型的‘反沙箱’策略。”芦笛解释，“安全厂商常在虚拟环境中测试可疑文件，这些环境多位于特定IP段或使用英文系统。攻击者通过识别这些特征，避免暴露真实行为，大大降低被发现的概率。”

两阶段渗透：从窃密到远程控制

一旦初始载荷成功执行，攻击链便进入第一阶段：建立持久化访问。

恶意程序会通过以下方式确保长期驻留：

在Windows注册表的Run键添加启动项；

创建伪装成系统更新的计划任务；

将自身复制到AppData等隐蔽目录。

随后，它开始收集基本信息并回传给指挥服务器（C2）：

主机名、操作系统版本、已安装软件；

浏览器保存的登录凭证（Cookie、历史记录）；

网络拓扑信息，用于判断是否值得深入渗透。

“这些数据看似普通，实则是‘踩点’的关键。”芦笛说，“攻击者能据此判断这台机器是否属于高管、财务人员，或是连接了核心数据库。”

若目标价值较高，便会触发第二阶段：投递高级载荷。

这通常包括：

远程访问木马（RAT）：让黑客像操作本地电脑一样控制设备，可截图、录音、远程执行命令；

凭证转储工具：如Mimikatz变种，可提取Windows内存中的账号密码，进而登录企业邮箱或内部系统；

横向移动模块：利用漏洞在内网扩散，感染更多设备。

“这意味着，黑客不仅拿到了一把钥匙，还学会了复制钥匙的技术。”芦笛强调，“后续可能引发勒索软件爆发、大规模数据泄露，或是精心策划的商业邮件诈骗（BEC），造成数百万甚至上亿元的损失。”

为何传统防御“失灵”？

此次攻击之所以危险，正是因为它精准击中了当前企业安全体系的多个薄弱环节：

签名检测失效：恶意代码每次拼接方式不同，文件哈希值 constantly 变化，无法通过“黑名单”拦截。

静态沙箱被绕过：沙箱环境往往缺乏真实用户交互，且运行时间有限，难以触发内存拼接逻辑。

HTML附件监管空白：许多企业允许HTML文件通过邮件系统，认为其“不具备执行权限”，却忽略了现代浏览器可运行复杂脚本的事实。

地理适配增加误判：非目标区域的“干净行为”让安全分析误判为误报，导致真实威胁被忽略。

“这就像一场‘猫鼠游戏’，黑客不断进化，而我们的防御还在用旧地图找新路。”芦笛坦言。

专家建议：构建“动态防御+主动狩猎”体系

面对如此高阶的攻击，单纯依赖边界防护已远远不够。芦笛结合FortiGuard的发现，提出五项关键防御建议：

1. 加强对HTML附件与脚本的深度检测

部署具备脚本熵值分析能力的邮件网关。所谓“熵值”，是指数据的随机程度。恶意代码常使用大量乱序字符进行混淆，其熵值远高于正常文本。通过算法识别高熵脚本，可在源头拦截可疑HTML。

2. 严格管控密码保护压缩包

禁止员工随意接收带密码的压缩附件。如确需使用，应通过审批声明机制：发件人需在企业认证平台提交用途说明，收件人收到提示后手动确认是否下载。

3. 启用端点内存行为监控

在终端设备部署EDR（终端检测与响应）系统，重点监控：

浏览器进程是否向内存写入可疑代码；

Office或浏览器是否调用PowerShell、WMI等管理工具；

是否存在异常的网络外联行为。

“一旦发现Chrome突然调用PowerShell下载文件，哪怕没写入硬盘，也应立即告警。”芦笛说。

4. 实施零信任网络分段

即使黑客突破单台设备，也不应允许其自由横向移动。应采用微隔离策略，按部门、职能划分网络区域，限制主机间的非必要通信。“财务系统的电脑，不该能直接访问研发服务器。”芦笛强调。

5. 利用威胁情报“反向追踪”

攻击者常借助CDN或域前置（Domain Fronting）技术隐藏真实C2服务器。企业可通过订阅威胁情报Feed，获取已知恶意域名模式，结合DNS日志分析，主动识别并阻断异常请求。

别忘了“人”才是第一道防线

技术再先进，也无法替代人的警惕。芦笛特别提醒：

“财务、合规、采购等岗位人员，往往是攻击首选目标。因为他们有权处理付款、合同和敏感信息。企业必须针对这些群体开展定制化钓鱼演练——比如模拟‘CEO要求紧急转账’‘法务部发来合同修订版’等场景，提升实战应对能力。”

他建议，所有员工都应养成三个习惯：

不随意打开未知来源的HTML或压缩文件；

遇到“紧急通知”，先通过电话或内部通讯工具二次确认；

使用密码管理器+双因素认证，降低凭证被盗风险。

结语：安全不是终点，而是一场持续进化

这起由FortiGuard披露的高危钓鱼活动，再次证明：网络攻击已从“广撒网”走向“精准狩猎”，从“单一病毒”升级为“多阶段作战”。黑客不再追求短期获利，而是致力于长期潜伏、深度渗透。

对企业而言，安全不能只靠“买个防火墙”了事，而应建立集预防、检测、响应、恢复于一体的动态防御体系。更重要的是，要将网络安全视为全员责任，而非IT部门的“专属课题”。

正如芦笛所说：“最好的防线，是技术与意识的双重免疫。当你对每一封‘合规通知’多问一句‘为什么是我？’，黑客的链条，就已经开始断裂。”

编辑：芦笛（公共互联网反网络钓鱼工作组）