网易首页 > 网易号 > 正文 申请入驻

语音钓鱼+权限劫持,黑客组织UNC3944横扫美国多行业,专家呼吁企业“守好电话门”

0
分享至

近日,谷歌威胁情报组(GTIG)发布一份重磅安全报告,揭露一个名为UNC3944的网络犯罪团伙正利用“打电话骗密码”的老套路,结合高阶技术手段,对美国零售、航空、交通、保险等多个关键行业发起精准勒索软件攻击。令人震惊的是,这些攻击并非依赖复杂漏洞,而是靠“一张嘴”撬开了企业的核心系统。

这不是电影情节,而是正在真实发生的数字攻防战。该团伙通过语音钓鱼(vishing) 和管理员权限劫持,短短数小时内即可完成从“打个电话”到“瘫痪整个IT系统”的全过程,其速度之快、手法之狡猾,已引起全球网络安全界的高度警惕。

打开百度APP畅享高清图片

一通电话,竟能让企业“自毁长城”?

据谷歌披露,UNC3944的攻击链条始于一次看似普通的电话。攻击者伪装成公司员工,拨打IT帮助台电话,谎称自己忘记密码或设备丢失,请求重置账户。

“他们不是随便打的。”工业网络安全媒体Industrial Cyber报道指出,UNC3944会提前通过暗网购买的过往数据泄露信息,掌握目标员工的真实姓名、部门甚至工号,让骗局更具说服力。

一旦帮助台人员轻信并执行密码重置,黑客便获得首个“落脚点”。但这只是开始。

“这就像小偷先混进小区物业,再冒充业主去换锁。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时比喻道,“他们真正想要的,是能打开所有房门的‘总钥匙’——也就是系统管理员账号。”

获得初步访问权限后,黑客会迅速在内部网络中搜索IT文档、组织架构图,锁定拥有VMware vSphere等虚拟化平台管理权限的高权限账户。随后,他们再次致电帮助台,这次直接冒充那位“技术大牛”,要求重置其管理员密码。

由于前一次操作已建立“信任链”,加上攻击者语气自信、信息准确,帮助台人员往往难以察觉异常,最终亲手将“系统大门”的钥匙交出。

“最危险的地方,往往是流程最薄弱的地方。”芦笛强调,“很多企业花大价钱买防火墙、EDR(终端检测与响应),却忽视了‘人’这个环节。一个没经过严格身份核验的电话,就能绕过所有高科技防线。”

“活在系统里”的黑客:从虚拟机底层发动攻击

拿到管理员权限后,UNC3944的攻击进入“降维打击”阶段。

他们登录企业的VMware vCenter(虚拟化管理平台),利用管理员权限直接操作虚拟机的“控制台”——相当于物理服务器的显示器和键盘。接着,他们重启系统,在启动时修改底层引导程序(GRUB),强制以“超级管理员(root)”身份进入系统,从而获得对整个虚拟环境的完全控制。

“传统杀毒软件、EDR都装在虚拟机内部,但黑客是从‘外面’动手的。”芦笛解释,“这就像是小偷不撬门,而是直接把整辆车吊走拆解。车里的报警器根本没用。”

更隐蔽的是,黑客还会部署名为Teleport的开源远程工具,建立一条加密的反向连接通道,实现长期潜伏和远程操控。即便企业后续发现异常并断网,黑客仍可通过该通道重新接入。

由于整个过程几乎不产生恶意文件或异常进程,传统的安全检测工具很难捕捉到有效线索,直到勒索软件突然弹窗,企业才意识到已被“掏空”。

谷歌报告指出,UNC3944的攻击从初始入侵到数据加密,最快仅需数小时,远超一般勒索软件团伙数天甚至数周的“潜伏期”,堪称“闪电战”。

攻击不止于IT:危及制造业、能源等关键领域

此次攻击不仅波及金融、零售等传统目标,还蔓延至航空、运输、保险等行业。这些领域普遍依赖虚拟化技术运行核心业务系统,一旦被攻破,可能导致航班延误、物流中断、保单数据泄露等严重后果。

更值得警惕的是,UNC3944的手法已被其他勒索团伙效仿。此前针对米高梅、Caesars等赌场集团的攻击,幕后黑手正是同一组织(也被称为Scattered Spider或0ktapus)。这些攻击均以社会工程为突破口,最终导致大规模业务停摆。

“这标志着勒索软件攻击进入‘去技术化’时代。”芦笛指出,“黑客不再追求零日漏洞,而是专攻人性弱点。谁最容易相信电话那头的声音,谁就是突破口。”

企业如何“守好电话门”?三大防御建议

面对这种“软硬结合”的新型攻击,企业该如何应对?谷歌与安全公司Mandiant联合提出三重防御策略,而芦笛也结合国内实践,给出了更落地的建议:

1. 强化身份验证,杜绝“一句话改密码”

所有密码重置请求必须通过多因素认证(MFA),且MFA不能依赖手机号(易被SIM卡劫持)。

对管理员账户的操作,应启用“高保障MFA”,如硬件安全密钥(YubiKey)或生物识别。

帮助台流程需加入“非转移性验证”,例如要求用户提供入职日期、直属上级姓名等无法通过社交工程获取的信息。

芦笛提醒:“不要让帮助台成为‘便利台’。任何涉及权限变更的操作,都必须有二次审批和记录留痕。”

2. 隔离关键系统,打破“一损俱损”困局

将身份管理系统(如Active Directory)与虚拟化平台(如vSphere)物理或逻辑隔离,避免黑客通过一处突破控制全局。

启用“锁定模式(Lockdown Mode)”,限制对ESXi主机的直接访问。

考虑采用云原生身份服务,减少对传统AD的依赖。

“很多企业把所有鸡蛋放在一个篮子里。”芦笛说,“一旦AD被控,整个网络就等于裸奔。必须建立‘纵深防御’体系。”

3. 加强日志监控,打造“千里眼”

集中收集vCenter和ESXi主机的日志,设置联动告警规则。例如:当某个账户在重置密码后,立即从非常用地点登录vCenter,系统应自动触发警报。

定期审计特权账户活动,及时发现异常行为。

建立不可变备份(immutable backup),确保即使系统被加密,也能快速恢复。

“防守的关键不是事后追查,而是事前拦截。”芦笛强调,“要像监控摄像头一样,对每一个可疑动作‘打标签’,做到早发现、早阻断。”

结语:网络安全,是一场永不停歇的“人防+技防”拉锯战

UNC3944的案例再次证明,最先进的防火墙也挡不住一个轻信的电话。在数字化浪潮下,企业的安全边界早已模糊,攻防战场从代码延伸到了话筒。

“技术永远在进化,但人性的弱点相对稳定。”芦笛总结道,“我们无法消灭社会工程,但可以通过制度、流程和技术的结合,把它的危害降到最低。”

对企业而言,一次成功的防御,可能就始于一次“多问一句”的谨慎;而一次失败的代价,或许是数百万美元的赎金和无法挽回的声誉损失。

在这个“电话即武器”的时代,守好你的“电话门”,或许比升级防火墙更重要。

编辑:芦笛(公共互联网反网络钓鱼工作组)

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
美国再推永久夏令时,50年前的黑夜教训犹在

美国再推永久夏令时,50年前的黑夜教训犹在

固件更新中
2026-07-17 01:44:27
官方:前曼联后卫拜利加盟哥伦布机员

官方:前曼联后卫拜利加盟哥伦布机员

懂球帝
2026-07-17 22:52:07
目标2028欧洲杯!邮报:图赫尔必须找到激活顶级技术型球员的方法

目标2028欧洲杯!邮报:图赫尔必须找到激活顶级技术型球员的方法

画夕
2026-07-17 00:35:04
陈伟霆也没想到,刚为他生下儿子的何穗,早已让他被千万人羡慕

陈伟霆也没想到,刚为他生下儿子的何穗,早已让他被千万人羡慕

胡一舸南游y
2026-07-16 20:04:04
大S遗产案又反转,海外资产被曝,汪小菲举动撕下来S妈体面

大S遗产案又反转,海外资产被曝,汪小菲举动撕下来S妈体面

小嵩
2026-07-17 22:30:29
全胜晋级夏联半决赛!湖人大胜公牛豪取6连胜 4号秀21+8+8失误

全胜晋级夏联半决赛!湖人大胜公牛豪取6连胜 4号秀21+8+8失误

醉卧浮生
2026-07-17 08:07:46
顺位打脸!6大首轮集体拉胯,火箭堪称本届夏联超级捡漏

顺位打脸!6大首轮集体拉胯,火箭堪称本届夏联超级捡漏

章民解说体育
2026-07-17 12:51:08
CBA快讯!方硕和北京男篮沟通续约问题,广厦或迎来大金主,山西全力追逐胡金秋

CBA快讯!方硕和北京男篮沟通续约问题,广厦或迎来大金主,山西全力追逐胡金秋

中国篮坛快讯
2026-07-17 18:56:20
蹊跷!国民党邀马英九出席全代会遭婉拒 蓝营多名大佬也将缺席!

蹊跷!国民党邀马英九出席全代会遭婉拒 蓝营多名大佬也将缺席!

一口娱乐
2026-07-17 11:02:59
中日韩人均身高对比:日本仅164.5cm,韩国166cm,中国确实没想到

中日韩人均身高对比:日本仅164.5cm,韩国166cm,中国确实没想到

铭记历史呀
2026-07-06 10:25:52
比亚迪高管怒批:每天3.6款新车,20万车只赚3000块,评论区恐慌

比亚迪高管怒批:每天3.6款新车,20万车只赚3000块,评论区恐慌

谭谈社会
2026-07-15 13:43:00
重磅!广东新赛季三大外援奎因、巴吉、萨姆纳出炉

重磅!广东新赛季三大外援奎因、巴吉、萨姆纳出炉

格斗社
2026-07-17 11:08:14
WTA雅典站:女单八强产生,郑钦文今晚22:30迎“tell me”之战!

WTA雅典站:女单八强产生,郑钦文今晚22:30迎“tell me”之战!

全网球APP
2026-07-17 12:50:13
目不识丁,脑袋空空?杨紫研讨会上7分钟发言,给白鹿上了一课

目不识丁,脑袋空空?杨紫研讨会上7分钟发言,给白鹿上了一课

洲洲影视娱评
2026-07-17 14:42:14
黑天鹅起飞?可怕金融风暴正在逼近,千万别以为是好事

黑天鹅起飞?可怕金融风暴正在逼近,千万别以为是好事

混沌录
2026-07-16 21:26:25
降低“坏胆固醇”的方法找到了!研究:吃够优质蛋白,坏胆固醇下降37%

降低“坏胆固醇”的方法找到了!研究:吃够优质蛋白,坏胆固醇下降37%

人民日报健康客户端
2026-07-17 07:37:29
五角大楼确认约旦美军基地F35机库遇袭致14死500伤

五角大楼确认约旦美军基地F35机库遇袭致14死500伤

赵钇是个热血青年
2026-07-17 14:21:23
演员白鹿发文官宣与欢娱影视解约,前老板于正回应:“我怀着嫁女儿的心情又送走了一个我爱的孩子”

演员白鹿发文官宣与欢娱影视解约,前老板于正回应:“我怀着嫁女儿的心情又送走了一个我爱的孩子”

新浪财经
2026-07-16 10:48:24
鬼才导演诺兰《奥德赛》首波口碑:实拍神话巨兽,视觉炸裂

鬼才导演诺兰《奥德赛》首波口碑:实拍神话巨兽,视觉炸裂

自愈小日子
2026-07-16 00:10:04
态度大转变!米切尔公开招募詹姆斯:回家吧,我们再拿一次冠军

态度大转变!米切尔公开招募詹姆斯:回家吧,我们再拿一次冠军

夜白侃球
2026-07-17 10:44:17
2026-07-17 23:40:49
芦熙霖
芦熙霖
作家、书画家、摄影师、CNNIC工程师。毕业于鲁迅美术学院。2014-2016年周游亚欧非各国
278文章数 0关注度
往期回顾 全部

科技要闻

WAIC2026看什么?这份"不迷路"攻略请收好

头条要闻

美媒问特朗普言论会否影响中国领导人访美 外交部回应

头条要闻

美媒问特朗普言论会否影响中国领导人访美 外交部回应

体育要闻

30亿欧对决,世界杯季军战毫无意义?

娱乐要闻

曲婉婷自爆患癌!全网喊“苍天绕过谁”

财经要闻

梁文锋不需要天才

汽车要闻

把中国超跑卖到英国,比亚迪正在被世界看见

态度原创

艺术
旅游
教育
数码
公开课

艺术要闻

470米,烂尾的“重庆第一高楼”,无人接盘!

旅游要闻

研学日记|北京研学感想

教育要闻

定了!又一所公办嘉祥来了,预计明年开学

数码要闻

亮源新创姜旭:世界模型的最终目标是让机器人理解并参与物理世界

公开课

李玫瑾:为什么性格比能力更重要?

无障碍浏览 进入关怀版