随着数字化转型深入发展,网络攻击手段也愈发智能化和隐蔽化。2025年上半年,网络安全领域爆出一起复杂且针对性极强的钓鱼攻击,攻击者假冒知名金融机构Rothschild & Co.的招聘人员,通过精心设计的邮件诱骗全球多个地区的首席财务官(CFO)及财务高管上钩。该攻击利用合法的远程访问工具NetBird展开一系列多阶段行动,成功实现对目标系统的远程入侵和持久控制,震动业界。 首次发现于2025年5月中旬,事件涵盖欧洲、非洲、加拿大、中东及南亚六大区域多个关键行业,受害对象包括银行、能源公司、保险机构和投资公司。这起攻击并非传统的低端钓鱼手法,而是通过多层加密和社会工程学的精密结合,实现对企业关键岗位的精准打击。 攻击始于一封伪装成著名企业高级招聘人员发出的邮件,邮件内容宣称提供“战略级别的工作机会”。
邮件中附带的PDF附件实为隐蔽的钓鱼链接,诱使目标点击并跳转至托管于Firebase平台的恶意页面。值得注意的是,钓鱼页面设计了复杂的加密重定向链接,只有通过验证码(CAPTCHA)验证后,才能执行JavaScript函数解密真实的下载地址,进而引导下载包含恶意脚本的ZIP压缩包。 该多阶段攻击通过Visual Basic脚本(VBScript)文件依次下载并加载后续恶意代码。后续代码将NetBird和OpenSSH两个合法软件伪装安装于受害主机上,通过创建隐藏账户及启用远程桌面访问,实现对系统的隐秘远程操控。为了防止被发现,恶意程序还会移除桌面快捷方式,并通过计划任务确保重启后自动激活。 研究人员分析指出,攻击者巧妙利用NetBird本身为合法且广泛应用的基于WireGuard协议的远程访问工具,极大降低了安全防护系统的警觉性。
此类攻击不仅绕过传统反病毒和邮件过滤机制,还展示了当前网络攻击强调持久性和多层防护绕过的趋势。 此外,相关调查发现类似的重定向链接活动已持续近一年,说明该攻击活动经过长期筹备和演化。尤其令人关注的是,攻击背后并无明确归属的威胁组织标识,可能预示着更多分散化、专业化且隐蔽的黑客行动。 当前,企业尤其是金融领域的安全防护面临严峻挑战。随着黑客利用合法工具展开高隐蔽性入侵,传统依赖杀毒软件和防火墙的防御模式逐渐难以防范。攻击者还不断使用自定义验证码验证绕过技术,规避Cloudflare Turnstile和Google reCAPTCHA等防护,进一步加剧攻防复杂度。
此次事件反映出现代网络威胁日益精细化的态势。攻击者不仅充分利用社会工程学、加密混淆和多阶段负载下载,还借助合法软件创建隐匿通道,长期潜伏于受害环境,窃取敏感数据或准备后续深层破坏。 此外,行业内也频繁出现其他基于邮件的社会工程攻击。例如,日本知名ISP的域名被滥用发送钓鱼邮件,Google Apps Script平台被用以托管伪装真实的钓鱼页面,模仿Apple Pay的钓鱼邮件窃取账户信息,以及利用Notion工作区植入恶意链接引诱受害者暴露微软登录凭据等。这些现象共同揭示了网络攻击手段的多样化和国际化。 网络安全服务公司指出,钓鱼即服务(Phishing-as-a-Service,PhaaS)正在催生一种类似软件即服务的黑产生态。
攻击者通过低门槛、高自动化的钓鱼工具快速发起大规模攻击,甚至拥有客户支持和产品更新功能,令传统防御形势更加严峻。 作为应对,企业安全团队需不断提升员工的安全意识培训,强化对社会工程攻击的识别能力,同时加快引入基于行为检测、多因素身份验证(MFA)以及持续威胁猎杀等多层次防御策略。 微软近期发布的安全报告强调,攻击者正逐步利用先进的身份钓鱼技术,包括设备代码钓鱼和OAuth授权钓鱼等,绕过多因素认证防线。尤其是设备加入钓鱼手段,已经被认为是2025年网络钓鱼领域的重要新趋势。 高级管理层应高度重视此类针对性攻击带来的风险,加强跨部门协作和事件响应能力。定期进行安全演练和模拟钓鱼测试,及时更新防护设备规则与补丁,做好入侵检测和快速处置准备,是防止财务及敏感信息泄露的关键。
综合来看,假冒招聘邮件结合合法远程访问工具的攻击手法,代表了当前网络攻击的高度战略性和隐蔽性。企业唯有构建全方位、多层次的安全防护体系,融合技术防御与人员防护,才能有效应对越来越复杂的网络威胁挑战,保护核心资产安全,保障业务连续运行。未来,随着安全技术和攻击技术的持续竞速,保持警惕、加强防御意识,将成为企业稳健发展的重要保障。
