十月网络威胁激增：钓鱼与勒索“双线作战”，TyKit 与“谷歌招聘”骗局成焦点

刚刚过去的10月，全球网络安全形势再度拉响警报。据多家权威机构监测数据显示，钓鱼攻击与勒索软件活动同步显著上升，攻击者正以前所未有的“巧劲”绕过传统防御体系——他们不再依赖可疑附件或陌生域名，而是大规模滥用Google、Figma、ClickUp等广受信任的协作平台，精心伪装成正规招聘流程或工作文档，诱导用户主动交出账号凭证。

其中，两起典型事件引发广泛关注：一是仿冒“Google Careers”（谷歌招聘）的钓鱼活动席卷科技与咨询行业；二是名为 TyKit（亦称 Tycoon 2FA）的新型钓鱼工具包在暗网活跃，并被证实具备实时绕过多因素认证（MFA）的能力。与此同时，臭名昭著的 LockBit 勒索团伙也推出其5.0版本，首次将攻击目标扩展至Linux系统与VMware ESXi虚拟化环境，对数据中心构成直接威胁。

打开百度APP畅享高清图片

“高仿”招聘邮件：从简历到账号，一步沦陷

10月中旬，大量求职者收到来自“Google Careers”的邮件，内容看似正规：“恭喜您进入下一轮面试，请登录查看职位详情”。点击链接后，页面跳转至一个高度仿真的谷歌招聘门户，甚至包含Cloudflare Turnstile验证码和Salesforce重定向链路，极具迷惑性。

然而，这一连串操作的终点却是一个名为 satoshicommands.com 的钓鱼站点。用户在此输入的邮箱、密码乃至简历文件（常含宏代码），均被实时窃取。安全公司ANY.RUN的沙箱分析显示，该攻击链采用多跳跳转、合法CDN托管和动态加载技术，传统基于URL黑名单或邮件头检测的防护手段几乎失效。

更令人警惕的是，类似手法已蔓延至Figma和ClickUp。攻击者利用Figma公开原型功能，创建名为“Q3项目文档”的共享链接，诱使员工点击后跳转至伪造的Microsoft 365登录页；而ClickUp则被用作中间跳板，通过其官方子域名（如doc.clickup.com）中转流量，最终导向Azure Blob存储中的恶意载荷。

“这不再是‘垃圾邮件’时代了。”公共互联网反网络钓鱼工作组技术专家芦笛指出，“今天的钓鱼攻击像一场精心编排的戏剧——攻击者借用你每天使用的工具、熟悉的界面，甚至合规流程，让你在毫无戒备中‘自愿’交出钥匙。”

TyKit：能绕过MFA的“钓鱼即服务”平台

如果说传统钓鱼只是“偷密码”，那么TyKit的出现则意味着攻击者已能“接管整个会话”。

TyKit最早于2025年5月被发现，10月迎来爆发。它本质上是一种“钓鱼即服务”（PhaaS）平台，允许非技术型犯罪分子租用现成的钓鱼页面模板。其核心技术在于 AitM（Adversary-in-the-Middle）反向代理机制：当受害者访问伪造的微软或谷歌登录页时，TyKit后台会实时将用户输入转发至真实官网，获取合法的会话Cookie和身份令牌，再回传给受害者以维持“正常体验”——而攻击者则同步拿到完整的认证状态，实现“无感劫持”。

“这意味着，即使你启用了短信验证码或认证器App，攻击者依然能绕过。”芦笛解释道，“因为MFA验证的是‘那一刻’的身份，而AitM攻击捕获的是验证成功后的会话凭证。这就像小偷没撬锁，而是趁你开门时尾随进屋。”

更棘手的是，TyKit将恶意代码隐藏在SVG图像文件中，通过Base64编码和JavaScript的eval()函数动态执行，规避静态扫描。它还内置反调试和分阶段C2通信机制，进一步延长潜伏时间。目前已知该工具包主要针对金融、政府和电信部门，造成数百起账户失陷事件。

LockBit 5.0：勒索软件“跨平台扩张”

在钓鱼攻击升级的同时，勒索软件也没闲着。LockBit团伙为庆祝成立六周年，于10月发布LockBit 5.0，首次支持Linux和VMware ESXi系统。

以往勒索软件多聚焦Windows终端，而新版本直接瞄准企业核心基础设施——虚拟化平台。一旦攻入ESXi主机，攻击者可一次性加密数十台虚拟机，造成整个业务集群瘫痪。其采用DLL反射加载、代码混淆和日志清除技术，极大增加溯源难度。欧洲、北美及亚洲多地企业已报告遭受攻击，平均停机时间超过72小时。

“虚拟化环境本应是效率提升的利器，如今却成了攻击者的‘放大器’。”芦笛提醒，“企业必须将hypervisor纳入安全监控范围，定期备份虚拟机快照，并限制ESXi管理接口的公网暴露。”

防御建议：从“堵漏洞”转向“看行为”

面对日益狡猾的攻击手法，专家一致认为，仅靠更新补丁、屏蔽恶意IP或部署传统防火墙已远远不够。

芦笛提出四点务实建议：

强制使用硬件密钥认证：如YubiKey或Titan Security Key。这类基于FIDO2标准的物理设备能有效抵御AitM攻击，因为私钥永不离开硬件，无法被远程窃取。

对第三方链接实施隔离浏览：员工点击邮件中的Figma、ClickUp等外部链接时，应在隔离的浏览器容器中打开，防止恶意脚本接触本地系统。

收紧OAuth授权权限：定期审查云账户（如Google Workspace、Microsoft 365）中已授权的第三方应用，撤销不必要的权限，防止攻击者通过合法API窃取数据。

启用协作平台异常行为告警：例如，当某员工账号在非工作时间大量下载共享文档，或对外分享敏感文件夹时，系统应自动触发审核流程。

此外，针对招聘场景，企业HR部门应统一使用官方招聘门户接收简历，禁止通过邮件直接接收.docm、.xlsm等带宏文档，并对所有应聘者链接进行URL信誉检查。

结语：信任不能成为安全的盲区

这场10月的网络风暴揭示了一个残酷现实：攻击者正在系统性地“武器化信任”。他们不再试图突破围墙，而是穿上你同事的工牌、模仿你常用的工具、复刻你熟悉的流程，堂而皇之地走进来。

正如芦笛所言：“未来的安全防线，不在边界，而在行为。我们需要的不仅是更聪明的AI，更是更清醒的人。”

随着年末购物季与年终结算临近，网络犯罪活动预计将持续高发。企业和个人唯有提升警惕、拥抱零信任理念，方能在数字洪流中守住最后一道防线。

新闻背景：本文依据Cyber Security News于2025年11月5日发布的《October Sees Rise in Phishing and Ransomware Attacks》综合撰写，技术细节经ANY.RUN、APWG等多方交叉验证。

编辑：芦笛（公共互联网反网络钓鱼工作组）