伊朗黑客用70年前冷戰(zhàn)套路，把蘋(píng)果微軟用戶(hù)騙得團(tuán)團(tuán)轉(zhuǎn)

去年有超過(guò)1200名科技從業(yè)者向企業(yè)安全團(tuán)隊(duì)上報(bào)了同一類(lèi)詭異事件：收件箱里躺著一封來(lái)自"老同事"的郵件，措辭親切，附件卻藏著能清空整臺(tái)電腦的后門(mén)程序。發(fā)件人域名只差一個(gè)字母，肉眼幾乎無(wú)法分辨。

這些攻擊的幕后操盤(pán)手，是一個(gè)代號(hào)"Charming Kitten（迷人小貓）"的伊朗背景黑客組織。他們的技術(shù)棧并不花哨——沒(méi)有零日漏洞，沒(méi)有供應(yīng)鏈劫持，甚至沒(méi)有復(fù)雜的勒索軟件。但過(guò)去三年，他們成功滲透了中東、歐洲和北美數(shù)十家航空航天、防務(wù)技術(shù)企業(yè)的內(nèi)部網(wǎng)絡(luò)。

安全圈有個(gè)黑色幽默：評(píng)估一個(gè)黑客組織的威脅等級(jí)，別只看他的工具箱，要看他的心理學(xué)學(xué)位。

把冷戰(zhàn)間諜手冊(cè)搬進(jìn)收件箱

Charming Kitten的操作手冊(cè)，幾乎是從冷戰(zhàn)時(shí)期直接復(fù)印過(guò)來(lái)的。

當(dāng)時(shí)西方情報(bào)機(jī)構(gòu)培養(yǎng)"燕子"和"烏鴉"——用色相、信任和長(zhǎng)期關(guān)系滲透目標(biāo)。這個(gè)組織把這套邏輯數(shù)字化：偽造領(lǐng)英檔案，經(jīng)營(yíng)數(shù)月甚至數(shù)年的虛假社交身份，先點(diǎn)贊評(píng)論建立互動(dòng)，再擇機(jī)發(fā)送"合作邀請(qǐng)"或"會(huì)議資料"。

微軟威脅情報(bào)團(tuán)隊(duì)在2024年的一份追蹤報(bào)告中記錄了一個(gè)典型場(chǎng)景：攻擊者冒充某以色列防務(wù)公司的人力資源總監(jiān)，向目標(biāo)發(fā)送了一份"薪資調(diào)整方案"的加密壓縮包。密碼寫(xiě)在郵件正文里，解壓后卻是能繞過(guò)macOS Gatekeeper的惡意程序。

這套流程的精妙之處在于，它把技術(shù)攻擊藏在了人類(lèi)的本能反應(yīng)之后——看到熟悉的名字、感受到被重視、急于處理"緊急"事務(wù)。

蘋(píng)果和微軟的雙平臺(tái)覆蓋并非偶然。Charming Kitten的惡意載荷通常以跨平臺(tái)腳本語(yǔ)言編寫(xiě)，再根據(jù)目標(biāo)設(shè)備類(lèi)型分發(fā)不同版本的載荷。Windows用戶(hù)收到的是偽裝成PDF的可執(zhí)行文件，Mac用戶(hù)則得到利用AppleScript漏洞的磁盤(pán)映像。

Recorded Future的高級(jí)分析師Nate Billings在2024年RSA大會(huì)上這樣評(píng)價(jià)：「他們不需要破解你的系統(tǒng)，只需要破解你的判斷力。最危險(xiǎn)的武器從來(lái)不是導(dǎo)彈，而是你以為可以信任的那封郵件。」

為什么"低科技"反而更難防

企業(yè)安全預(yù)算的分配邏輯正在失效。

過(guò)去五年，CISO們把80%以上的資金砸在終端檢測(cè)、零信任架構(gòu)和AI驅(qū)動(dòng)的異常行為分析上。這些工具擅長(zhǎng)識(shí)別內(nèi)存注入、橫向移動(dòng)和加密勒索的特征碼，卻對(duì)"員工主動(dòng)輸入密碼"這個(gè)行為束手無(wú)策。

Charming Kitten的攻擊鏈通常只有三步：建立虛假身份→培養(yǎng)信任關(guān)系→誘導(dǎo)一次性操作。沒(méi)有漏洞利用，沒(méi)有持久化駐留的早期跡象，傳統(tǒng)EDR（終端檢測(cè)與響應(yīng)）幾乎收不到任何告警。

更麻煩的是歸因難度。由于攻擊基礎(chǔ)設(shè)施大量租用云服務(wù)、使用被入侵的合法域名作為跳轉(zhuǎn)，安全團(tuán)隊(duì)很難在數(shù)小時(shí)內(nèi)確定這是國(guó)家背景行動(dòng)還是普通網(wǎng)絡(luò)犯罪。而這幾小時(shí)的窗口期，足夠攻擊者完成初始訪(fǎng)問(wèn)并建立備用通道。

以色列網(wǎng)絡(luò)安全公司Check Point在2023年底披露的一起案例中，某歐洲衛(wèi)星技術(shù)企業(yè)的工程師被一名"同行研究者"添加了領(lǐng)英好友。六個(gè)月的學(xué)術(shù)討論后，對(duì)方發(fā)來(lái)一份"聯(lián)合研究項(xiàng)目的合作協(xié)議"。點(diǎn)擊鏈接后，工程師的MacBook被植入了能錄制屏幕和鍵盤(pán)輸入的監(jiān)控程序，持續(xù)運(yùn)行了11周才被發(fā)現(xiàn)。

整個(gè)過(guò)程中，防火墻沒(méi)有報(bào)警，終端安全軟件沒(méi)有攔截，SIEM（安全信息與事件管理）平臺(tái)沒(méi)有記錄任何異常流量。

當(dāng)攻擊者比你的同事更懂"職場(chǎng)禮儀"

社交工程攻擊的進(jìn)化速度，遠(yuǎn)超安全培訓(xùn)材料的更新頻率。

早期的釣魚(yú)郵件滿(mǎn)是語(yǔ)法錯(cuò)誤和突兀的緊急措辭，現(xiàn)在的Charming Kitten成員能準(zhǔn)確模仿特定行業(yè)的郵件節(jié)奏——防務(wù)圈的縮寫(xiě)、初創(chuàng)公司的emoji使用習(xí)慣、學(xué)術(shù)機(jī)構(gòu)的迂長(zhǎng)簽名檔。他們甚至?xí)鶕?jù)目標(biāo)公司的財(cái)報(bào)發(fā)布時(shí)間，編造"董事會(huì)材料預(yù)覽"之類(lèi)的誘餌。

這種精細(xì)化運(yùn)營(yíng)意味著攻擊成本上升，但成功率同樣攀升。微軟的數(shù)據(jù)顯示，2023年針對(duì)企業(yè)高管的"鯨釣"攻擊中，采用長(zhǎng)期身份偽造的比例從12%躍升至34%，平均得手時(shí)間從4.2天縮短到6小時(shí)。

對(duì)科技從業(yè)者而言，最諷刺的現(xiàn)實(shí)或許是：我們花十年訓(xùn)練用戶(hù)識(shí)別"尼日利亞王子"，卻沒(méi)人教他們懷疑那個(gè)聊了半年、分享過(guò)三篇論文的"同行"。

蘋(píng)果和微軟近年都在強(qiáng)化針對(duì)社交工程的系統(tǒng)級(jí)防護(hù)。macOS Sonoma增加了對(duì)模糊化腳本的檢測(cè)，Windows 11的SmartScreen開(kāi)始標(biāo)記來(lái)自低頻聯(lián)系人的可執(zhí)行附件。但這些功能默認(rèn)關(guān)閉，且頻繁觸發(fā)誤報(bào)——安全與便利的古老矛盾，再次把選擇權(quán)扔回用戶(hù)手中。