警惕新型攻击:不靠恶意软件,专攻API和身份验证

自2026年2月以来，安全团队已处理了多起跨行业的数据窃取和勒索事件。研究人员将这些以经济利益为驱动的活动，以中等置信度归因于一个编号为CL-CRI-1116的攻击集群，该集群与此前公开报道中的BlackFile存在重叠。

调查显示，CL-CRI-1116背后的攻击者很可能与一个名为The Com的团伙有关联。这些攻击者不依赖自定义恶意软件，而是专注于利用应用程序接口和其他合法资源，采取离地攻击的手法。他们还建立了自己的数据泄露网站来勒索受害者。

典型攻击从资源开发开始。攻击者制作伪装成正规企业单点登录页面的钓鱼网站，捕获用户凭证，同时使用反检测浏览器和住宅代理来隐藏地理位置。在初始访问阶段，利用伪造的网络电话号码进行语音钓鱼，冒充IT支持人员，诱骗员工在钓鱼页面中输入凭证和一次性密码。

获取员工账户后，攻击者会注册自己控制的设备绕过多因素认证。他们通过横向移动到高权限账户来维持访问，抓取内部员工目录获取高管联系方式，再进一步入侵这些高级账户，获得对环境的持续性广泛访问权限。

在数据收集阶段，攻击者专注SaaS环境和内部仓库中的数据发现，滥用微软Graph API权限抓取SharePoint站点，并利用SaaS平台自带的搜索功能，通过搜索机密文件等特定字符串锁定高价值目标。数据窃取直接通过浏览器或API导出完成，利用合法的单点登录会话，将大量数据转移到攻击者控制的基础设施中，包括员工电话号码和机密业务报告。攻击者还会使用文件共享服务来暂存窃取的数据。

最后，攻击者利用随机生成的Gmail地址和被入侵的员工邮箱发送激进的赎金要求，赎金通常在七位数美元范围。作为额外施压手段，还会对公司人员包括高管进行报假警攻击。

自2026年2月以来，该攻击集群一直在积极针对零售和酒店行业，特别是利用伪装成IT帮助台人员的语音钓鱼，结合伪造登录网站来窃取凭证。建议组织着重完善安全策略，包括对来电者进行多因素验证，明确哪些信息可以在电话中分享，以及哪些操作可以在不升级管理层的情况下完成。对一线电话员工进行安全意识培训，帮助识别社交工程迹象，如对身份验证问题含糊其词，或制造高压紧迫感要求立即行动。许多组织报告称，通过结合政策审查、员工教育以及网络电话日志分析和多因素认证配置等措施，抵御这类攻击的能力已显著改善。