波音采购单藏6层套娃病毒，22个样本已确认

2026年3月30日，安全研究员@JAMESWT_WT在X上随手发了一条警告。一张伪装成波音公司采购单的Word文档，正在全球工业供应商的邮箱里流转。没人想到，这个看似普通的钓鱼邮件，背后是一套精心设计的六层攻击链——从DOCX到RTF，从JavaScript到Python，最终把Cobalt Strike（一款后渗透测试工具）送进内存，全程不落硬盘。

48小时内，MalwareBazaar上出现了同一批次的多个样本。4月1日，三个不同版本的诱饵文档被确认，文档元数据、加密密钥、攻击结构完全一致。这不是孤例，是一场正在扩张的精准狩猎。

BreakglassIntelligence团队还原了完整攻击路径。攻击者把合法工具串成了武器链：Word文档、PowerShell脚本、带签名的Python二进制文件，再加上微软信任的LOLBin（Living Off The Land Binaries，指系统自带可被滥用的程序）。传统终端安全几乎无法识别这种"白加白"的组合拳。

第一层：被忽视的DOCX陷阱

受害者收到的邮件来自"Joyce Malave from BOEING"或"Global Services, LLC"。主题很直接：大批量询价，请报最优价。附件有三个变种——Rfq and Payment Schedule.docx、Product_specifications.docx、RFQ_PO_ATR29026II.docx。

打开文档的瞬间，攻击开始。Word的关系文件里藏着一个aFChunk引用，这个2017年就存在的技术，能强制Word静默加载内嵌的RTF文件。讽刺的是，大多数邮件安全网关只扫描DOCX的ZIP表层，从不追踪内嵌的RTF链接。

更耐人寻味的是文档本身。基础模板创建于2021年4月，直到2026年1月才被武器化——中间隔了将近五年。作者元数据原封不动，从未清理。攻击者似乎很擅长从旧物里翻出新用途。

中间层：从RTF到Python的变形之路

RTF文件里藏着十六进制编码的JavaScript。执行后，PowerShell登场，负责部署完整的Python 3.12运行时环境。这一步很讲究：用带合法签名的Python解释器，规避对未知可执行文件的告警。

Python随后加载一个经过AES-256加密的DLL，采用反射式加载（reflective loading）——直接注入内存，不经过常规的磁盘写入。最终阶段，Cobalt Strike在内存中运行，攻击者获得对受害机器的完全交互式控制。

整个链条用了六种文件格式和脚本语言，每个环节都是"合法"的。DOCX是办公文档，RTF是兼容格式，JavaScript和PowerShell是系统原生支持，Python是开发者工具，DLL反射加载是高级红队技术。单独看任何一环，都很难触发告警。

目标与痕迹：谁在狩猎供应链

攻击者的目标很明确：采购和销售岗位。这些人每天处理大量外部邮件和报价单，对"波音RFQ"这类标题缺乏警惕。一旦单点突破，Cobalt Strike的横向移动能力可以迅速蔓延至整个企业网络。

意大利组织被确认为次要目标。22个关联恶意样本已被追踪确认，截至报告发布时，至少有一个实时载荷投递URL仍在活跃。

这场战役的代号是NKFZ5966PURCHASE——来自其中一个诱饵文档的文件名。安全社区用这个名字标记了2026年开年以来最复杂的供应链钓鱼攻击之一。

防御者的困境

传统安全产品的设计逻辑是"识别坏文件"。但这场攻击没有传统意义上的"坏文件"——只有被滥用的好工具。DOCX是员工日常处理的格式，PowerShell是IT管理的标配，Python是开发环境的常见组件。

检测难点在于行为链的完整性。单独拦截任何一个阶段，攻击者都可以快速变种替换。只有持续监控进程行为、内存加载和网络连接，才能在最终载荷执行前发现异常。

BreakglassIntelligence分析师指出，这种"全内存驻留"的攻击方式正在变得普遍。攻击者越来越倾向于避免磁盘落盘，以规避基于文件扫描的EDR（端点检测与响应）产品。

一个值得注意的细节：攻击链中使用的Python 3.12是2023年底发布的版本。攻击者没有用过时组件凑数，而是保持了工具链的更新。这种维护成本暗示着背后有持续投入的资源。

波音公司尚未就此次冒名攻击公开置评。对于收到类似RFQ邮件的供应链企业，现在最紧迫的问题是：你的邮件网关会深入扫描DOCX的内部结构吗？你的终端防护能识别内存中的Python进程异常行为吗？还是也在等一个像@JAMESWT_WT这样的外部研究者，在攻击扩散后才被动知晓？