一個正在運行微軟365釣魚操作的攻擊者,因為一個疏忽把整套工具箱攤在了網上:一臺Python Web服務器監聽著公共端口,目錄列表功能開著,而執行這條命令的記錄還躺在可讀的.bash_history文件里。那條命令是 python3 -m http.server 8080 ,放在任何一本Linux入門教程里都不起眼,但在這里,它成了安全公司Lexfo順手抄底的入口。
Lexfo在一次日常網絡掃描中發現了這臺主機,位于布達佩斯的IP 185.163.204[.]7。順著這個敞開的目錄,他們拿到的不僅是釣魚工具源碼,還有憑證竊取日志、遠程管理工具安裝包、組合列表、備份壓縮包,甚至操作者自己的Telegram會話文件。一個人為錯誤,把一場持續一年多的釣魚戰役連根拔起。
![]()
這臺服務器背后運行著Evilginx中間人代理和SimpleHelp遠程控制臺,而bash歷史加上一組公開代碼倉庫直接指向了操作者:一個自2018年起活躍在VoIP和黑客論壇上的埃及行動者,安全界用codemado這個代號追蹤他。他運營著一個基于picis[.]net域名的微軟365中間人釣魚平臺,還自己寫了一個叫MaDoO Blaster的群發郵件工具把竊取到的訪問權限變現。他的戰役從2026年4月20日上線,一直跑到4月30日目錄被發現之后還沒停,幾周后又出現了新的子域名和更新的通配符證書。他自己的機器人記錄到對兩個企業級M365賬戶的憑證捕獲,一個來自法國,一個來自北美。
最值得警惕的細節藏在這些重復捕獲的日志里。同一組企業賬戶,從不同IP多次被抓取,Lexfo判斷這符合一種操作模式:攻擊者不斷刷新已經竊取到的令牌,以防它們過期失效。換句話說,一次成功的釣魚,影響會被刻意拉長。
codemado并不是從零搭建這個框架的,他只是克隆了別人寫好的版本。他的bash歷史里甚至有比較不同套件的記錄。他那臺服務器上一共發現了四種Evilginx變體,分別來自另外兩個GitHub開發者,而這兩個開發者也各自在跑著獨立的釣魚戰役。第一套變體代號red-queen,出自一個尼日利亞操作者,報告中稱他為mail-argenta。他的修改程度能讓人看清一個公開框架可以被注入多少“匠心”:他把HTML里的crossorigin和integrity屬性全部重命名,以對抗子資源完整性檢查;在http_proxy.go里加入了一套URL重寫引擎,用來繞過基于路徑的檢測。他更進一步的改動是預填受害者的郵箱地址以減少中途放棄的幾率,并給竊取到的微軟會話Cookie加上一整年的TTL——3153.6萬秒。報告指出,這樣一條被劫持的登錄會話熬過一次密碼重置并不稀奇,如果部署的是不帶持續訪問評估(CAE)功能的條件訪問策略,這個會話幾個月后仍可能被利用。更有意思的是,他的代碼倉庫里直接提交了一份預編譯好的evilginx2.exe,省去了使用者自己編譯的麻煩。
這三組行動都鉆了多因素認證的缺口,但走的是兩條不同的路。一種是直接代理實時登錄會話,受害者輸入憑據和MFA驗證碼的同時,攻擊者就拿到了完整的會話Cookie。另一種則是濫用微軟官方的登錄流程,在不觸發異常告警的情形下完成賬戶接管。由此帶來的防御要求也截然不同:針對代理登錄,強制實施令牌綁定和持續訪問評估是關鍵;針對濫用官方流程的手法,則需要精細調整條件訪問策略,監控非典型登錄行為。如果企業是微軟365的重度用戶,區分這兩種攻擊路徑不是可選項,而是保住郵箱的基本動作。
三個互相借鑒、各自行動的釣魚操作者,一次完全不必要的目錄暴露,把整個鏈條串了起來。codemado和mail-argenta的套件有同源關系,但各自發展出了不同的免殺和持久化技巧。這恰好印證了一個越來越明顯的趨勢:釣魚不再是單個黑客的獨角戲,而是一套可復制、可分支演化的流水線。而防御方要補的,不僅是技術配置,還有對攻擊者協作方式的認識。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.