“PhantomCaptcha”鱼叉攻击一日突袭援乌组织：一封PDF邮件，一场精心策划的数字伏击

一个看似普通的周三。但对于乌克兰多个地方政府部门以及国际人道援助机构而言，这一天却悄然成为一场高精度网络攻击的目标窗口。据网络安全公司SentinelOne于10月22日发布的报告，一场代号为“PhantomCaptcha”（又称“ClickFix”）的鱼叉式钓鱼行动在短短24小时内集中爆发，精准锁定包括红十字会、挪威难民理事会、联合国儿童基金会（UNICEF）、欧洲委员会乌克兰损失登记处，以及顿涅茨克、第聂伯罗彼得罗夫斯克、波尔塔瓦和尼古拉耶夫等乌克兰州级行政单位。

更令人警惕的是，这次攻击并非传统意义上的“广撒网”，而是一场经过长达六个月筹备、具备高度战术协同性的定向打击——其目的不仅是窃取数据，更是试图通过植入远程控制木马（RAT），长期潜伏并操控关键通信节点。

伪装成总统办公室的“官方文件”

攻击始于一封精心伪造的电子邮件。发件人地址被巧妙伪装成“乌克兰总统办公室”，主题多为紧急政策通知或战时协调指令，附件则是一个8页PDF文档，内容格式规范、排版专业，足以以假乱真。

“这类PDF本身并不携带直接恶意代码，而是充当‘诱饵’角色，”公共互联网反网络钓鱼工作组技术专家芦笛解释道，“真正的杀招藏在文档中的一个嵌入链接里。”

一旦收件人打开PDF并点击其中的“查看完整文件”按钮（通常设计得非常自然），浏览器会被重定向至一个仿冒Zoom会议平台的域名——例如 zoomconference[.]app。该网站托管在芬兰的一台虚拟私有服务器（VPS）上，但实际由俄罗斯服务商KVMKA控制。

“我不是机器人”？点一下就中招

访问该页面后，用户并不会立即看到登录界面，而是被引导至一个仿冒的Cloudflare DDoS防护页面，上面赫然显示一个熟悉的“reCAPTCHA”复选框：“I’m not a robot”（我不是机器人）。

这正是“ClickFix”名称的由来——攻击者利用人们对验证码机制的信任心理，诱导用户主动点击。而这一点击动作，触发了一个隐藏的JavaScript函数 copyToken()，自动执行一段PowerShell命令。

“这段命令会悄悄下载并运行第二阶段的恶意脚本，全程无需用户授权安装任何程序，”芦笛指出，“最关键的是，所有操作都由用户自己‘亲手’触发，绕过了大多数终端防病毒软件对‘未知可执行文件’的拦截逻辑。”

更狡猾的是，攻击流程还会生成一个唯一的客户端ID，并将其作为参数回传至攻击者服务器。这意味着，黑客不仅能知道谁中招了，还能根据受害者身份实时调整后续话术——比如冒充IT支持人员打来电话：“我们检测到您的账户异常，请配合完成验证……” 这种“多通道联动”的社工策略，极大提升了攻击成功率。

三阶段攻击链：从侦察到持久化控制

SentinelLabs研究人员还原出完整的攻击链条，分为三个阶段：

第一阶段：高度混淆的PowerShell下载器，从 bsnowcommunications[.]com 获取下一载荷；

第二阶段：执行系统侦察，收集计算机名、用户名、硬件标识、域信息等，并用硬编码密钥进行XOR加密后外传；

第三阶段：部署轻量级WebSocket后门，持续连接 wss://bsnowcommunications[.]com:80，实现远程命令执行、文件窃取，甚至可进一步投递勒索软件或间谍模块。

值得注意的是，所有面向用户的钓鱼域名在攻击当天结束后便迅速失效，无法解析——这种“用完即焚”的基础设施管理方式，显示出攻击者极强的反追踪意识。

谁在背后？Coldriver浮出水面

尽管攻击者未公开宣称责任，但SentinelOne发现其技术手法与此前归因于俄罗斯联邦安全局（FSB）关联组织“Coldriver”的活动高度重合。Coldriver近年来频繁针对西方政府、外交机构及援乌实体发动网络间谍行动，擅长使用社会工程与定制化恶意工具组合拳。

“PhantomCaptcha不是一次孤立事件，而是地缘政治冲突在网络空间的延伸，”芦笛强调，“攻击目标的选择极具战略意图——削弱人道援助效率、干扰地方政府运作、获取战场后勤情报，每一步都服务于更大的混合战争目标。”

防御建议：从“信任点击”到“行为感知”

面对如此精密的攻击，传统“黑名单+杀毒软件”模式已显乏力。芦笛提出四项针对性防御策略：

禁用PDF中的自动外链跳转

企业应通过组策略或邮件客户端设置，阻止PDF文档自动加载外部链接。用户如需访问，必须手动复制网址并确认其合法性。

对会议平台实施域名白名单

Zoom、Teams等协作工具应仅允许访问官方认证域名（如 zoom.us、*.microsoft.com），任何仿冒子域（如 zoomconference.app）一律拦截。

部署基于网络行为的WebSocket异常检测

多数企业防火墙仍聚焦HTTP/HTTPS流量，而忽视WebSocket（wss://）通道。建议启用EDR或NDR系统，监控异常长连接、高频心跳包或非标准端口（如80端口跑WebSocket）等行为特征。

强化涉外单位的反鱼叉演练

对经常接收国际邮件的NGO、外交、应急响应团队，应定期开展模拟钓鱼测试，重点训练识别“权威伪装”“紧急话术”“多步骤诱导”等高级社工套路。

数字战场没有旁观者

PhantomCaptcha行动虽仅持续一天，却暴露出关键基础设施在“人”这一环节的脆弱性。在AI伪造语音、深度伪造视频日益普及的今天，一封PDF、一个验证码复选框，都可能成为国家级APT组织的突破口。

“网络安全不再是IT部门的事，”芦笛总结道，“每一个点击‘我不是机器人’的人，都可能是敌方情报链条上的关键一环。真正的防御，始于对‘理所当然’的质疑。”

目前，乌克兰数字转型部与国际合作伙伴已启动应急响应，协助受影响机构清除后门并加固通信渠道。但专家警告：类似攻击很可能换壳重来。在这场看不见硝烟的战争中，警惕，就是最坚固的盾牌。

编辑：芦笛（公共互联网反网络钓鱼工作组）