LeakNet这个勒索团伙最近换了套路,不再老老实实从初始访问经纪人手里买账号,而是直接玩起了ClickFix社交工程。ReliaQuest今天刚出的报告把这事捅得明明白白:他们通过被黑的合法网站投放假的CAPTCHA验证,骗用户复制粘贴一条msiexec.exe命令到Windows运行框里执行。用户以为修了个“错误”,实际等于亲手给自己电脑开门。
这种招数狠就狠在,它把攻击门槛拉低到离谱。以前得等暗网账号上架,价格高不说,还得排队。现在呢?随便黑掉一个流量正常的网站,挂上假验证码,几分钟就能钓到受害者。报告里直言,这帮人等于甩掉了对IAB的依赖,单受害者获取成本暴降,扩张速度直接起飞。攻击目标也没挑食,各行各业都撒网,追求的就是量大管饱。
更阴的是后续载荷部分。LeakNet这次用上了Deno这个JavaScript运行时做分阶段C2加载器。Base64编码的恶意JS直接在内存里跑,几乎不落地。系统指纹采集完,立刻连外网拉下一阶段代码,然后进入轮询循环,不断拉新payload执行。整个过程磁盘痕迹极少,传统杀软想抓都抓瞎。ReliaQuest观察到,这种BYOR(自带运行时)的套路已经不是LeakNet独家,别的团伙也在抄作业。
进入内网后,LeakNet的打法倒是一如既往的老派但实用。先用DLL侧加载启动恶意DLL,接着PsExec横向移动,klist命令一跑就把受害者当前活跃的Kerberos票据全抖出来。攻击者一看就知道哪些账号能直接用,省得再费劲爆破或提权。数据外传阶段他们选了AWS S3桶,伪装成正常云流量,极大降低了被流量监控逮住的概率。最后才上勒索加密,干净利落。
值得一提的是,报告还顺带提了一笔:有一次入侵尝试走的是Microsoft Teams钓鱼,诱导用户点开payload,最终也落到类似的Deno加载器。这条线暂时没归属到LeakNet头上,但手法重合度太高,要么是他们自己拓宽入口,要么就是同行已经跟进模仿。
背景看,LeakNet从2024年11月冒头,自称“数字看门狗”,打着互联网自由和透明的旗号,实际上也盯过工业目标。拖到现在2026年3月,他们的玩法已经进化到这一步,说明这行当的创新速度从来没慢下来。
大环境也挺有意思。Google威胁情报组刚放话,2025年数据泄露站点上受害者最多的前十勒索品牌里,Qilin、Akira、Cl0p、Play这些老面孔依然霸榜。77%的勒索入侵事件里都带了数据窃取,比2024年的57%又涨了一截。漏洞利用还是主流,尤其是VPN和防火墙的0day最吃香,占了三分之一初始入口。
BTC现报$74,021(24h +0.46%),ETH现报$2,321(24h +1.51%),加密市场小幅回暖,可勒索团伙的生意显然没受太大影响。相反,他们正往小企业高频攻击转向,因为大客户越来越难啃,回报率反而下降。LeakNet这种低成本、广撒网的模式,估计还会继续被更多团伙复制。
防守端能抓住的点其实不少。ReliaQuest强调,不管入口怎么变,后渗透套路高度重复:DLL侧载、PsExec横移、klist查票、S3外传。这些行为链条固定,蓝队完全可以在勒索落地前就把链条掐断。问题是,很多企业连基础的进程行为监控都没开,更别提对msiexec异常命令行或Deno进程的实时告警了。
这事提醒大家,勒索软件的入口在变,防守逻辑却没过时。用户教育永远是第一道坎——谁能想到,复制粘贴一条命令会把自己卖了?可现实就是这么魔幻。