2025 年 8 月标志着网络犯罪策略的重大演变,威胁行为者部署了日益复杂的网络钓鱼框架和社会工程技术,成功绕过了传统的安全防御。
ANY.RUN 已经确定了三个主要的活动系列,它们代表了网络犯罪分子处理凭据盗窃和系统破坏方式的根本转变:多阶段 Tycoon2FA 网络钓鱼框架、ClickFix 交付的 Rhadamanthys 窃取作,以及 Salty2FA 的出现,这是一个与臭名昭著的 Storm-1575 组织相关的新网络钓鱼即服务 (PhaaS) 平台。
这些活动显示出高度针对性、多层次攻击的惊人趋势,这些攻击将先进的规避技术与心理纵相结合,以击败自动化安全系统和人类警觉。
与传统的大规模网络钓鱼尝试不同,这些复杂的框架专门针对政府、金融和关键基础设施领域的高价值账户。
Tycoon2FA:七阶段网络钓鱼链
Tycoon2FA 活动代表了网络钓鱼复杂性的范式转变,采用七阶段执行链,系统地击败自动化安全工具,同时耗尽人类目标。
该框架已成为 2025 年观察到的最有效的凭证收集行动之一,专门针对美国、英国、加拿大和欧洲的政府机构、军事设施和主要金融机构。
攻击方法从精心制作的语音邮件主题网络钓鱼电子邮件开始,这些电子邮件会启动复杂的重定向链。在到达最终的 Microsoft 登录欺骗面板之前,受害者会被引导通过多个验证屏幕,包括 Cloudflare 旋转门验证码和“按住”反机器人检查。每个阶段都有双重目的:过滤掉自动分析工具,同时建立人类目标的心理承诺。
分析数据显示,26% 的 Tycoon2FA 活动专门针对银行业员工,这表明他们故意关注高价值的金融凭证,而不是机会主义的凭证收获。
该框架的选择性延伸到政府和军事人员,其中单个受感染的帐户可以提供对机密系统和敏感国家安全信息的访问。
与 ANY.RUN 的自动交互具有七阶段执行流程,其作方式如下:初始网络钓鱼电子邮件发送、虚假 PDF 附件下载、嵌入式超链接激活、Cloudflare 验证码质询、手动交互验证、电子邮件验证要求,最后是通过欺骗性身份验证面板收集凭据。
这种方法有效地击败了基于签名的检测系统,同时需要持续的人工参与,以建立信任并减少怀疑。
点击修复进化
ClickFix 技术已经大大超越了其原始的 NetSupport RAT 和 AsyncRAT 交付机制,现在已成为部署 Rhadamanthys 等高级信息窃取程序的复杂载体。
这种演变代表了技术复杂性和规避能力的令人担忧的升级,将社会工程心理学与先进的恶意软件部署技术相结合。
最近的活动利用 ClickFix 流程通过 Microsoft Installer (MSI) 包提供 Rhadamanthys 窃取程序,这些包在内存中静默执行,绕过了带有 ANY 的传统基于文件的检测系统。RUN Sandbox,我们可以看到 Rhadamanthys 是如何通过 ClickFix 交付的。
攻击链采用反虚拟机检查来逃避沙箱分析,同时直接建立与 IP 地址的 TLS 连接,从而规避 DNS 监控和域信誉系统。
| 阶段 | 技术 | 斜接 ATT&CK ID | 规避方法 |
|---|---|---|---|
| 首次交货 | ClickFix 社会工程 | T1566型 | 需要人机交互 |
| 安装 | 微星静默执行 | T1218.007 | 内存处理 |
| 规避 | 反虚拟机检测 | T1497.001 | 环境分析 |
| 通信 | 直接 IP TLS | T1071.001 | DNS 绕过 |
| 有效载荷交付 | 巴布亚新几内亚隐写术 | T1027.003 | 视觉混淆 |
这些活动最复杂的方面涉及通过受损的 PNG 图像文件传输基于隐写术的有效负载。
攻击者在图像数据中嵌入了额外的恶意软件组件,允许部署辅助有效负载,同时在安全扫描程序中显示为合法的图形内容。该技术有效地绕过了专注于可执行文件类型的内容检查系统。
威胁行为者还实施了自签名 TLS 证书,其中故意不匹配的颁发者/主题字段,在维护加密通信通道的同时创建了唯一的网络工件。
这些证书有双重用途:避免商业证书颁发机构的监督,同时为高级威胁检测团队提供独特的搜寻签名。
Salty2FA:下一代 PhaaS 框架
Salty2FA 的发现也许代表了网络钓鱼基础设施发展中最重要的发展,引入了一个全面的网络钓鱼即服务平台,能够绕过几乎所有当前的多因素身份验证实现。
该框架于 2025 年 6 月首次确定,现已迅速扩展到针对多个大洲的 Microsoft 365 帐户,特别关注北美和欧洲企业环境。
Salty2FA 的名字来源于独特的源代码“加盐”技术,这些技术颠覆了静态分析工具和手动逆向工程工作。
该框架实现了中间对手功能,可以拦截来自移动身份验证应用程序的推送通知、基于短信的一次性密码,甚至双向语音身份验证呼叫。这种全面的 2FA 绕过功能对当前企业身份验证策略构成了根本威胁。
基础设施分析揭示了 Salty2FA 部署的一致模式,利用复合子域结构与俄罗斯顶级域配对进行指挥和控制作。
该框架利用链式服务器架构,提供弹性通信渠道,但使归因和删除工作变得复杂。
归因证据表明 Salty2FA 与 Storm-1575 威胁组织之间存在联系,该组织之前负责 Dadsec 网络钓鱼工具包作。下面是分析会话、Salty2FA 行为下载和可作报告的示例。
然而,基础设施重叠也表明与 Tycoon1747FA 活动背后的组织 Storm-2 存在潜在关系。这些联系表明以前不同的威胁行为者之间可能存在合作或现有犯罪组织内部的演变。
- 金融服务和保险组织
- 能源生产和制造设施
- 医疗保健系统和电信提供商
- 政府机构、教育机构和物流网络
这些活动的发展代表了网络犯罪能力的根本转变,从机会主义攻击转向针对高价值机构目标的持续、有针对性的行动。
多级规避、先进的隐写术和全面的 2FA 旁路技术所表现出的复杂性表明犯罪组织内部对研发进行了大量投资。
事实证明,专注于基于签名的检测和静态分析的传统安全方法不足以应对这些演变的威胁。
人类心理纵与高级技术规避相结合,创建了攻击媒介,需要行为分析、交互式沙盒环境和持续的威胁情报集成,以实现有效的检测和响应。
组织必须实施分层安全策略,结合高级行为分析、交互式恶意软件分析功能和全面的威胁情报集成。
向 PhaaS 模型的转变表明,这些复杂的技术将越来越容易为技能较低的威胁行为者所接受,从而显着扩大整体威胁格局。
安全团队应优先考虑基于行为指标而不是静态 IOC 的检测规则的制定,因为这些活动展示了基础设施的快速更新和规避技术的演变。
