一个正在运行微软365钓鱼操作的攻击者,因为一个疏忽把整套工具箱摊在了网上:一台Python Web服务器监听着公共端口,目录列表功能开着,而执行这条命令的记录还躺在可读的.bash_history文件里。那条命令是 python3 -m http.server 8080 ,放在任何一本Linux入门教程里都不起眼,但在这里,它成了安全公司Lexfo顺手抄底的入口。
Lexfo在一次日常网络扫描中发现了这台主机,位于布达佩斯的IP 185.163.204[.]7。顺着这个敞开的目录,他们拿到的不仅是钓鱼工具源码,还有凭证窃取日志、远程管理工具安装包、组合列表、备份压缩包,甚至操作者自己的Telegram会话文件。一个人为错误,把一场持续一年多的钓鱼战役连根拔起。
![]()
这台服务器背后运行着Evilginx中间人代理和SimpleHelp远程控制台,而bash历史加上一组公开代码仓库直接指向了操作者:一个自2018年起活跃在VoIP和黑客论坛上的埃及行动者,安全界用codemado这个代号追踪他。他运营着一个基于picis[.]net域名的微软365中间人钓鱼平台,还自己写了一个叫MaDoO Blaster的群发邮件工具把窃取到的访问权限变现。他的战役从2026年4月20日上线,一直跑到4月30日目录被发现之后还没停,几周后又出现了新的子域名和更新的通配符证书。他自己的机器人记录到对两个企业级M365账户的凭证捕获,一个来自法国,一个来自北美。
最值得警惕的细节藏在这些重复捕获的日志里。同一组企业账户,从不同IP多次被抓取,Lexfo判断这符合一种操作模式:攻击者不断刷新已经窃取到的令牌,以防它们过期失效。换句话说,一次成功的钓鱼,影响会被刻意拉长。
codemado并不是从零搭建这个框架的,他只是克隆了别人写好的版本。他的bash历史里甚至有比较不同套件的记录。他那台服务器上一共发现了四种Evilginx变体,分别来自另外两个GitHub开发者,而这两个开发者也各自在跑着独立的钓鱼战役。第一套变体代号red-queen,出自一个尼日利亚操作者,报告中称他为mail-argenta。他的修改程度能让人看清一个公开框架可以被注入多少“匠心”:他把HTML里的crossorigin和integrity属性全部重命名,以对抗子资源完整性检查;在http_proxy.go里加入了一套URL重写引擎,用来绕过基于路径的检测。他更进一步的改动是预填受害者的邮箱地址以减少中途放弃的几率,并给窃取到的微软会话Cookie加上一整年的TTL——3153.6万秒。报告指出,这样一条被劫持的登录会话熬过一次密码重置并不稀奇,如果部署的是不带持续访问评估(CAE)功能的条件访问策略,这个会话几个月后仍可能被利用。更有意思的是,他的代码仓库里直接提交了一份预编译好的evilginx2.exe,省去了使用者自己编译的麻烦。
这三组行动都钻了多因素认证的缺口,但走的是两条不同的路。一种是直接代理实时登录会话,受害者输入凭据和MFA验证码的同时,攻击者就拿到了完整的会话Cookie。另一种则是滥用微软官方的登录流程,在不触发异常告警的情形下完成账户接管。由此带来的防御要求也截然不同:针对代理登录,强制实施令牌绑定和持续访问评估是关键;针对滥用官方流程的手法,则需要精细调整条件访问策略,监控非典型登录行为。如果企业是微软365的重度用户,区分这两种攻击路径不是可选项,而是保住邮箱的基本动作。
三个互相借鉴、各自行动的钓鱼操作者,一次完全不必要的目录暴露,把整个链条串了起来。codemado和mail-argenta的套件有同源关系,但各自发展出了不同的免杀和持久化技巧。这恰好印证了一个越来越明显的趋势:钓鱼不再是单个黑客的独角戏,而是一套可复制、可分支演化的流水线。而防御方要补的,不仅是技术配置,还有对攻击者协作方式的认识。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.