D2R Pixel Bot终极指南:5步实现暗黑破坏神2重制版全自动运行
2026/5/6 14:27:28
2025年10月以来,两个隶属于"The Com"网络犯罪生态系统的攻击组织Cordial_Spider(又名BlackFile)与Snarky_Spider(UNC6661)在全球范围内发起了一系列高速、隐蔽的SaaS-centric勒索攻击。与传统勒索软件不同,这两个组织完全不依赖恶意软件落地,而是通过语音钓鱼(Vishing)诱导、AiTM中间人代理、MFA设备篡改与SaaS信任关系滥用,在数十分钟内完成从初始接入到大规模数据外泄的完整杀伤链。
本文基于CrowdStrike、Aviatrix等安全机构的最新威胁情报,系统解构了这两类攻击的技术原理、战术流程与组织特征,对比了两者在攻击手法上的关键差异,深入分析了传统安全体系失效的根源,并提供了一套可落地的闭环防御框架与应急响应指南。研究表明,基于身份为中心、会话全链路管控与行为基线分析的防御体系,可有效抵御此类新型SaaS勒索攻击。
一、威胁背景与攻击组织概述
1.1 勒索攻击的范式转移
传统勒索攻击遵循"入侵-加密-勒索"的经典模式,依赖恶意软件在终端落地执行加密操作。然而,随着EDR/XDR等终端防护技术的成熟,这种攻击模式的成功率显著下降。攻击者开始转向"数据盗窃+双重勒索"甚至"三重勒索"模式,即先窃取敏感数据,再以泄露数据相威胁索要赎金,同时对拒绝支付的受害者发动DDoS攻击或骚扰其员工与客户。
Cordial_Spider与Snarky_Spider代表了勒索攻击的最新演进方向——SaaS原生勒索攻击。这类攻击完全在云端SaaS环境中进行,不涉及任何终端恶意软件,通过劫持合法身份与滥用信任关系实现攻击目标,具有速度快、隐蔽性强、检测难度大等特点。
1.2 攻击组织背景与关联
CrowdStrike的研究表明,Cordial_Spider与Snarky_Spider均隶属于名为"The Com"的英语系网络犯罪生态系统,与臭名昭著的Scattered Spider(散列蜘蛛)组织有着密切的技术与人员关联。Scattered Spider曾在2023-2024年对多家全球知名企业发动大规模攻击,其"电话钓鱼+MFA劫持+SaaS横向移动"的战术被这两个新组织继承并进一步优化。
两个组织的成员均为英语母语者,主要针对美国本土的企业与机构,覆盖学术、航空、零售、酒店、汽车、金融服务、法律与科技等多个行业。赎金要求通常在七位数美元以上,对于拒绝支付的受害者,Snarky_Spider会采取更为激进的手段,包括DDoS攻击与员工swatting(虚假报警骚扰)。
1.3 攻击活动时间线
- 2025年10月:CrowdStrike首次观察到Cordial_Spider与Snarky_Spider的攻击活动
- 2025年11-12月:攻击活动逐渐增多,主要针对零售与酒店行业
- 2026年1-2月:攻击范围扩大至金融服务与科技行业,赎金金额显著提升
- 2026年3-4月:两个组织开始采用更自动化的攻击工具链,攻击速度进一步加快,从初始访问到数据外泄的平均时间缩短至2小时以内
- 2026年4月30日:CrowdStrike发布专题报告,详细披露了这两个组织的攻击手法与防御措施
二、攻击链全生命周期技术剖析
Cordial_Spider与Snarky_Spider的攻击流程高度标准化,可分为六个清晰的阶段,每个阶段都经过精心设计以最大化攻击速度与隐蔽性。
2.1 第一阶段:语音钓鱼诱导(Vishing)
攻击的起点是一通精心策划的电话。攻击者通过开源情报(OSINT)收集目标企业的组织架构、员工姓名、职位信息以及IT部门的常用话术与通知口径,构建高度逼真的钓鱼脚本。
在通话中,攻击者冒充企业IT支持人员或安全部门员工,以"账户异常登录"、“安全策略升级”、"密码过期需要重置"等理由制造紧迫感,要求员工立即访问一个伪造的SSO登录页面完成身份验证。为了增加可信度,攻击者会准确说出员工的姓名、工号甚至部门信息,使受害者难以辨别真伪。
与传统邮件钓鱼相比,语音钓鱼具有更高的成功率:
- 电话沟通具有更强的即时性与压迫感,受害者往往没有足够时间思考与核实
- 语音可以传递情绪与语气,更容易建立信任
- 绕过了邮件网关与垃圾邮件过滤器的检测
2.2 第二阶段:AiTM中间人代理与令牌劫持
受害者点击攻击者提供的链接后,会被引导至一个高仿真的SSO登录页面。这个页面在视觉上与企业真实的登录页面几乎完全一致,包括域名风格、SSL证书、公司logo与交互流程。
这个伪造页面实际上是一个Adversary-in-the-Middle(AiTM)中间人代理服务器,它位于受害者与真实身份提供商(IdP)之间,透明地转发所有流量。当受害者输入用户名、密码并完成MFA验证时,攻击者会实时捕获所有认证数据,包括:
- 用户名与密码
- 会话令牌(Session Token)
- 刷新令牌(Refresh Token)
- MFA验证码
由于AiTM代理会将认证请求转发至真实的IdP,受害者会看到正常的登录成功页面,完全没有意识到自己的身份已经被劫持。攻击者获取的不仅是静态的密码,更是已经通过MFA验证的有效会话令牌,这意味着他们可以直接重放这个令牌登录企业的所有SaaS应用,无需再次进行认证。
2.3 第三阶段:MFA设备篡改与持久化建立
获取初始访问权限后,攻击者的首要任务是建立持久化访问,确保即使受害者修改密码,他们仍然能够控制账号。
两个组织都会执行以下操作:
- 进入账号安全中心,删除所有现有的可信MFA设备
- 注册攻击者控制的设备作为新的MFA验证方式
- 配置邮箱收件规则,自动过滤并删除包含"alert"、“incident”、“MFA”、"unauthorized"等关键字的安全通知邮件
- 手动删除已经到达的系统告警邮件
在MFA设备选择上,两个组织表现出明显的差异:
- Snarky_Spider:几乎只使用Genymobile安卓模拟器进行MFA注册,这使得他们可以在Linux、Windows与macOS等多种操作系统上统一管理恶意设备
- Cordial_Spider:使用更为多样化的设备组合,包括真实的移动终端与Windows QEMU模拟器,设备注册策略更加灵活
2.4 第四阶段:防御规避与痕迹清除
为了延长驻留时间并避免被发现,攻击者会采取多种防御规避措施:
- 使用商业VPN与居民代理服务(如Mullvad、Oxylabs、NetNut等)隐藏真实IP地址,使流量看起来像是来自普通家庭用户
- 尽量在受害者的正常工作时间内进行操作,以符合用户的行为基线
- 避免使用过于明显的恶意操作,如批量删除文件或修改系统配置
- 利用SaaS平台的合法功能进行数据访问与下载,不使用任何第三方工具
2.5 第五阶段:横向渗透与高价值数据发现
攻击者以身份提供商(IdP)为核心跳板,利用SSO的信任关系横向移动到所有集成的SaaS应用,包括:
- 企业网盘(SharePoint、Google Drive、OneDrive)
- 客户关系管理系统(Salesforce、HubSpot)
- 邮件系统(Exchange、Gmail)
- 人力资源系统(Workday、BambooHR)
- 开发平台(GitHub、GitLab)
在横向移动过程中,攻击者会使用特定的关键词搜索高价值数据,常见的搜索词包括:
- “confidential”、“secret”、“proprietary”
- “contract”、“agreement”、“NDA”
- “SSN”、“passport”、“ID”
- “password”、“credential”、“VPN”
- “financial”、“revenue”、“budget”
这种搜索驱动的方法使攻击者能够快速定位并优先处理最敏感的数据,大大缩短了从初始访问到数据外泄的时间。
2.6 第六阶段:大规模数据外泄与勒索
一旦确定了高价值数据的位置,攻击者会立即开始大规模下载。Snarky_Spider的攻击速度尤为惊人,通常在首次攻陷后1小时内就会启动批量下载操作。
数据下载完成后,攻击者会通过匿名通道将数据传输到自己控制的服务器。然后,他们会向受害者发送勒索信,要求支付巨额赎金以换取不泄露数据的承诺。如果受害者拒绝支付,攻击者会在暗网数据泄露网站上公布窃取的数据,并可能对受害者发动DDoS攻击或骚扰其员工与客户。
三、Cordial_Spider与Snarky_Spider的关键差异对比
虽然两个组织的整体攻击框架高度相似,但在具体的战术、技术与程序(TTPs)上存在一些明显的差异,这些差异可以帮助安全团队进行更精准的检测与归因。
| 对比维度 | Cordial_Spider | Snarky_Spider |
|---|---|---|
| MFA设备偏好 | 多样化移动终端+Windows QEMU模拟器 | 几乎只使用Genymobile安卓模拟器 |
| 攻击节奏 | 相对稳健,注重长期潜伏与权限提升 | 高度自动化,速度极快,平均2小时完成攻击 |
| 数据外泄速度 | 较慢,通常在24小时内完成 | 极快,1小时内启动批量下载 |
| 勒索手段 | 主要以数据泄露相威胁 | 数据泄露+DDoS攻击+员工swatting |
| 基础设施 | 使用更多样化的代理服务与域名提供商 | 基础设施相对集中,有固定的域名注册模式 |
| 目标偏好 | 更倾向于科技与金融服务行业 | 覆盖更广泛的行业,包括零售、酒店与航空 |
| 操作时间 | 主要在工作日的正常工作时间 | 也会在非工作时间进行操作 |
四、传统安全体系失效的根源分析
Cordial_Spider与Snarky_Spider的攻击之所以能够成功,根本原因在于它们完全绕过了传统安全体系的防御边界。
4.1 终端安全的盲区
传统的EDR/XDR解决方案主要关注终端上的恶意软件与异常进程。然而,这两个组织的攻击完全在浏览器与SaaS应用中进行,没有任何恶意文件落地,也没有利用任何软件漏洞。攻击者使用的是完全合法的功能与操作,因此终端安全产品无法检测到任何异常。
4.2 MFA机制的局限性
多因素认证(MFA)被广泛认为是抵御账号劫持的最有效手段之一。然而,传统的基于验证码、短信或应用推送的MFA无法抵御AiTM中间人攻击。因为攻击者可以实时截获用户输入的MFA验证码,并将其转发给真实的IdP,从而完成认证过程。
4.3 SaaS可见性的缺失
大多数企业对其SaaS环境的可见性非常有限。他们不知道谁在访问什么数据、什么时候访问的、从哪里访问的以及做了什么操作。SaaS应用的审计日志往往没有被集中收集与分析,导致安全团队无法及时发现异常行为。
4.4 身份安全的薄弱环节
身份已经成为新的安全边界,但许多企业的身份安全建设仍然滞后。常见的问题包括:
- 未启用抗钓鱼MFA(如FIDO2安全密钥)
- 缺乏对MFA设备变更的监控与告警
- 没有配置基于风险的身份验证策略
- 对特权账号的管理不够严格
- 缺乏统一的身份日志与关联分析能力
4.5 员工安全意识的不足
语音钓鱼攻击的成功很大程度上依赖于员工的安全意识不足。许多员工没有意识到电话也可能是一种攻击渠道,对于冒充IT支持的来电缺乏足够的警惕性。此外,员工对于伪造的SSO登录页面也往往难以辨别。
五、面向SaaS原生攻击的闭环防御体系
针对Cordial_Spider与Snarky_Spider这类新型SaaS勒索攻击,传统的"边界+终端"防御模式已经不再适用。企业需要构建一套以身份为中心、覆盖事前、事中、事后全周期的闭环防御体系。
5.1 事前预防:加固身份安全基础
5.1.1 部署抗钓鱼MFA
FIDO2/WebAuthn安全密钥是目前唯一能够有效抵御AiTM中间人攻击的MFA方式。与传统的验证码或应用推送不同,FIDO2安全密钥会将认证与特定的域名绑定,即使受害者在伪造页面上输入了验证码,攻击者也无法将其重放到真实的域名上。
企业应强制要求所有员工,特别是特权账号用户,使用FIDO2安全密钥进行身份验证,并禁用短信、电话与基于TOTP的弱验证方式。
5.1.2 配置严格的条件访问策略
在身份提供商(IdP)中配置基于风险的条件访问策略,对以下情况执行额外的验证或直接阻断:
- 来自未知IP地址或地理位置的登录
- 使用未知设备或浏览器的登录
- 非工作时间的登录
- 短时间内多地域并发登录
- 来自已知代理或VPN服务的登录
5.1.3 限制MFA设备注册与变更
制定严格的MFA设备管理策略:
- 限制每个账号最多只能注册2-3个MFA设备
- 要求MFA设备变更必须经过管理员审批
- 禁止使用模拟器或虚拟机注册MFA设备
- 定期审计所有账号的MFA设备注册情况
5.1.4 加强员工安全意识培训
开展针对性的语音钓鱼与AiTM钓鱼培训,教育员工:
- 任何IT支持人员都不会通过电话要求提供密码或MFA验证码
- 不要点击电话中提供的链接,应该手动输入企业官方的SSO地址
- 仔细检查登录页面的域名与SSL证书
- 遇到可疑情况立即向安全部门报告
5.2 事中检测:构建多维度行为分析体系
5.2.1 异常登录检测
基于用户的历史行为建立基线,实时检测以下异常登录行为:
- 新IP地址、新设备、新浏览器登录
- 非常用登录时间与地理位置
- 登录后立即访问MFA设置或安全中心
- 短时间内多次登录失败后成功登录
- 使用已知的高风险ASN或代理服务登录
5.2.2 MFA设备变更监测
实时监控MFA设备的增删与变更操作,对以下情况触发高等级告警:
- 一次性删除所有现有MFA设备
- 注册模拟器或虚拟机作为MFA设备
- 短时间内多次变更MFA设备
- 特权账号的MFA设备变更
5.2.3 邮箱安全监测
监控邮箱系统中的以下高危操作:
- 创建自动转发规则或邮件委托
- 创建包含安全关键字的收件过滤规则
- 批量删除邮件,特别是安全告警邮件
- 从异常IP地址访问邮箱
5.2.4 SaaS应用行为异常检测
为每个用户与部门建立SaaS应用行为基线,检测以下异常行为:
- 单日文件下载量远超历史基线
- 批量搜索敏感关键词
- 大量共享文件给外部用户
- 访问从未访问过的SaaS应用
- 异常的数据导出操作
5.3 事后响应:建立快速应急响应流程
一旦发现疑似攻击,企业应立即启动以下应急响应流程:
5.3.1 遏制阶段
- 立即撤销所有可疑的会话令牌
- 删除所有未授权的MFA设备
- 临时锁定受影响的账号
- 检查并删除所有恶意的邮箱规则与转发设置
- 阻断来自高风险IP地址的访问
5.3.2 调查阶段
- 全面审计受影响账号的所有操作日志
- 确定攻击者访问了哪些SaaS应用与数据
- 评估数据泄露的范围与严重程度
- 识别其他可能被攻陷的账号
- 还原攻击的完整时间线与杀伤链
5.3.3 根除阶段
- 重置所有受影响账号的密码
- 强制所有用户重新注册MFA设备
- 撤销所有可疑的OAuth应用授权
- 修复所有发现的安全配置漏洞
- 更新安全策略与检测规则
5.3.4 恢复阶段
- 逐步恢复受影响账号的访问权限
- 持续监控所有账号的活动至少30天
- 对泄露的数据进行风险评估与处置
- 通知相关的监管机构与受影响的客户
- 开展事后复盘与改进工作
六、未来威胁趋势与展望
Cordial_Spider与Snarky_Spider的出现标志着勒索攻击已经进入了SaaS原生时代。未来,这类攻击将呈现以下发展趋势:
6.1 攻击速度进一步加快
随着攻击工具链的不断自动化与AI技术的应用,攻击者将能够在更短的时间内完成从初始访问到数据外泄的整个过程。未来,攻击窗口可能会缩短至30分钟甚至更短,这对企业的应急响应能力提出了更高的要求。
6.2 攻击手段更加多样化
除了语音钓鱼与AiTM中间人攻击,攻击者还将探索更多针对SaaS环境的攻击手段,如:
- 利用OAuth应用授权进行持久化
- 滥用SaaS平台的API接口进行数据窃取
- 针对第三方集成与供应链的攻击
- 利用生成式AI技术制作更逼真的钓鱼内容
6.3 攻击目标更加精准
攻击者将利用开源情报与AI技术进行更精准的目标选择与钓鱼诱导。他们将能够针对特定的行业、企业甚至个人定制攻击脚本,大大提高攻击的成功率。
6.4 勒索模式不断创新
除了传统的数据泄露威胁,攻击者还将开发更多样化的勒索模式,如:
- 威胁删除或篡改企业的关键数据
- 利用窃取的身份进行欺诈活动
- 向竞争对手出售窃取的商业机密
- 对企业的客户与合作伙伴进行二次勒索
七、结论
Cordial_Spider与Snarky_Spider的攻击给全球企业敲响了警钟:在SaaS时代,身份已经成为新的安全边界。传统的基于边界与终端的防御体系已经无法有效抵御这类新型攻击。企业必须转变安全理念,构建以身份为中心、覆盖事前预防、事中检测与事后响应的全周期闭环防御体系。
同时,企业应该认识到,安全是一个持续的过程,而不是一次性的项目。只有不断加强安全意识培训、完善安全策略、更新安全技术,并定期进行安全演练与红蓝对抗,才能在日益复杂的网络威胁环境中保护好企业的数据资产与业务连续性。