北京
2026年4月以来,一场瞄准欧洲和亚洲酒店前台的钓鱼攻击持续活跃。攻击者用伪装成客人投诉、床虫照片的ZIP压缩包,悄悄在酒店电脑里种下一个可以脱离系统安装的Node.js后门。微软安全团队追踪到了这个被命名为TonRAT的植入体,但至今无法判断操作者到底想偷什么——没有确认的数据泄露,没有勒索软件,也没有公布受害者名单。
乍看之下,这是一场低成本的广撒网式钓鱼:邮件用日语、丹麦语和荷兰语发出,显示名是“Booking Manager (via Calendly)”,主题行不带收件人或酒店名称,内容翻来覆去就是投诉、差评、卫生检查威胁。攻击者赌的是前台员工不敢忽略声誉风险,索性用数量换中招率。但如果只看这一步,很容易误判它的技术含量。反方会说,这就是个老套的社会工程,但微软和第三方安全公司挖出的攻击链,更像是精耕细作的渗透工具集。
争议的核心在“身份认证绕过”。钓鱼邮件的后半段走了一条诡异的投递路径:先通过日程调度服务Calendly的邮件通知功能发出,再经谷歌的URL重定向服务跳转,最后落到一个藏在Cloudflare盾牌后的.cfd域名。由于Calendly发出的邮件本身通过了SPF、DKIM、DMARC三项验证,安全网关会放行。微软把这种操作叫做“认证洗白”——它能证明发件服务器有权利发信,但根本不说明邮件目的是什么。这正是攻击链的聪明之处:用合法的基础设施做跳板,让基于黑名单和源头信誉的防御彻底失效。
真正体现攻击思维的是落地方式。受害者点击链接下载的是一个名为photo-数字.zip的压缩包,里面藏着一个伪装成图片的快捷方式文件,第一波叫IMG-数字.png.lnk,第二波换成了PHOTO-数字.png.lnk。双击后,PowerShell脚本启动,用大整数运算解码出隐藏的下载地址,接着拉取一个.ps1脚本放进临时文件夹,再从Node.js官网拖回正版的v24.13.0运行时,直接在当前用户空间里跑起JavaScript植入体。整个过程不需要管理员权限,不修改系统环境变量,前台电脑上根本看不到Node.js安装的任何痕迹。
植入体TonRAT的指挥控制通道更有反封锁意识。它通过TON区块链的API动态解析C2域名,再建起一个加密的WebSocket连接。每次通信前才去链上捞域名,意味着静态域名的阻断列表基本追不上它。微软观察到植入成功后,信标会向固定的非标准端口发请求,比如8443、8445、8453、5555和56001到56003。部分受害主机上还冒出无头浏览器自动化痕迹和IP地理位置查询,甚至出现过强制关机指令。但所有这些活动,仍然没指向一个明确的经济目的。
我的判断是,这不像是勒索软件团伙的试水,倒更像一个情报收集测试或针对收银、预订系统的长期潜伏行动。攻击者把精力花在反检测和抗分析上,却刻意没封装勒索或窃密模块,这种克制反倒透露出更大的不确定性。无论最终目的是什么,酒店前台、预订系统这些“边角”机器已经是攻击者走过的熟门熟路——SOC Prime和日本伊藤忠商事在此前就记录过同样的钓鱼链路与LNK到PowerShell再到Node的入侵手法,说明这套工具链早已流通。
想要彻底清除威胁,只摸一条持久化路径是没用的。微软提醒,必须同时处理RunOnce注册表项指向ProgramData的启动项,以及Node.js的Run键,再把AppData\Local\Nodejs下的运行时和.js文件一并删除。拆一半留一半,后门随时会回来。检查受理投诉、办入住的机器,才是堵口子的第一步。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
