组织治理

防范暗潮涌动:从新型网络黑帮联盟看职场信息安全

admin

“安全不是一个技术问题,而是一场文化革命。”——迈克尔·斯科特(Microsoft 前安全副总裁)

在信息化、数字化、智能化的浪潮滚滚向前之际,企业的每一次系统升级、每一次云迁移、每一次远程协作,都像是把一扇新窗打开,光亮之余也让寒风有了可乘之机。过去的“防火墙、杀毒软件”已不足以抵御当今的多维攻击;取而代之的是组织内部对安全的整体认知、对风险的持续审视以及对行为的自觉约束。

本文将以三起近期典型安全事件为切入口,剖析攻击者的思路、手法与动机;随后结合当下企业数字化转型的实际场景,呼吁全体职工积极参与即将启动的信息安全意识培训,用“知行合一”筑起企业防线。

一、案例一:Scattered LAPSUS$ Hunters(SLH)利用 Telegram 进行多轮 extortion‑as‑a‑service(EaaS)

1. 背景概述

2025 年 8 月初,一个名为 Scattered LAPSUS$ Hunters(SLH) 的新兴黑客联盟在 Telegram 上迅速崛起。该联盟其实是 Scattered Spider、LAPSUS$ 与 ShinyHunters 三大老牌网络犯罪组织的“联名组合”,其内部成员通过共享品牌、共享工具、共享流量,实现了前所未有的协同攻击。

2. 攻击链细节

步骤 说明
① 信息收集 攻击者先通过公开资料、社交工程和网络爬虫收集目标企业的业务结构、关键人员邮箱、内部使用的 SaaS 平台(如 Salesforce)等。
② 初始渗透 采用钓鱼邮件、Vishing(语音钓鱼)或 RMM(远程管理工具)植入恶意载荷,获取初始访问权限。
③ 数据窃取 进入内部网络后,利用自研的 ShinySp1d3r 窃取数据库、CRM、员工个人信息等,形成“大数据包”。
④ 公开敲诈 攻击者在 Telegram 公开渠道发布“勒索公告”,列出被窃取数据概览,并提供付款地址。若受害方不付款,便以 “泄露全部数据” 为威胁进行二次敲诈。
⑤ EaaS 变现 通过设立 Extortion‑as‑a‑Service 平台,允许其他黑客买断“品牌”与“渠道”,以更低的入门费用加入敲诈生态,形成“黑产租赁”模式。

值得注意的是,这些 Telegram 频道在被平台监管下 至少被删除与重建 16 次,每一次的更名、加密、加盐,都显示出攻击者对“保持公开可视化、塑造黑客形象”的执念。

3. 教训提炼

  1. 社交平台的公开泄露:攻击者把 Telegram 当做“宣传板”,让员工看到后容易产生恐慌,从而在没有核实的情况下泄露更多信息。
  2. 品牌化敲诈:传统勒索往往是一次性敲诈,而 EaaS 把敲诈包装成可复用的服务,降低了新手黑客的入门门槛。
  3. 信息收集的前置性:攻击者在渗透前已完成了大量公开情报收集,说明 职工个人信息的公开度(LinkedIn、个人博客等)直接决定了被攻击的概率

安全建议
– 限制在公开渠道(社交网络、企业网站)上披露的组织架构与关键人员信息。
– 对收到的涉及付款、加密货币地址的消息进行多层核实(如电话回访、内部安全通道确认)。
– 设立 Telegram 监控与黑名单,及时发现与阻断可疑频道的链接。

二、案例二:DragonForce 勒索软件使用 BYOVD(Bring‑Your‑Own‑Vulnerable‑Driver)攻击链

1. 背景概述

同样在 2025 年,DragonForce 勒索集团推出了基于 BadRentdrv2 系列漏洞驱动(如 truesight.sysrentdrv2.sys)的全新攻击手段——BYOVD(自带易受攻击的驱动)模式。不同于传统勒索软件依赖于系统漏洞直接执行,DragonForce 通过植入已知的高危驱动,先行关闭安全防护组件,再加载勒索载荷,实现“先拔防火墙、后点灯”的双重突破。

2. 攻击链细节

步骤 说明
① 目标锁定 通过公开漏洞情报(如 CVE‑2025‑XXXX)锁定使用受影响驱动的企业资产。
② 初始入侵 采用与 Scattered Spider 合作的 RMM 工具(ScreenConnect、AnyDesk、TeamViewer、Splashtop)进行钓鱼式远程接管。
③ 驱动植入 利用管理员权限将 truesight.sys 等恶意驱动写入系统,利用驱动签名缺失或签名伪造(已被证实可绕过 Windows 验证机制)。
④ 防护失效 恶意驱动在内核层面禁用 AV、EDR、系统完整性检查(如 Windows Defender、Microsoft Sentinel),令后续勒索代码不被检测。
⑤ 勒索执行 恶意代码加密文件系统并弹出勒索页面,要求以加密货币支付解锁密钥。
⑥ “租赁”传播 DragonForce 通过 开放 API 让其他黑客可租赁其驱动库与基础设施,形成“即买即用”的快速部署模式。

3. 教训提炼

  1. 驱动层面的攻击:以往的防护重点在用户态(文件、进程),而 内核驱动 的漏洞更难被传统防护发现。
  2. RMM 工具的双刃剑:远程管理软件本是提升运维效率的利器,但若被攻击者劫持,可成为渗透的“后门”。
  3. 跨组合作的危害:DragonForce 与 Scattered Spider 的“交易式合作”说明 勒索软件生态正向即服务化、即租赁化发展,单一防御思路已难以覆盖全链路。

安全建议
– 对所有 内核驱动签名 进行严格校验,启用 Windows 10/11 的 驱动签名强制(Driver Signature Enforcement)
– 关闭或限制不必要的 RMM 远程功能,对所有远程登录实施多因素认证(MFA)与行为分析。
– 部署 以行为为基准的 EDR,监测异常的驱动加载、权限提升与文件系统加密行为。

三、案例三:利用“高管邮件泄露 + 低价敲诈”进行社交工程攻击

1. 背景概述

在上述两起宏观案例之外,SLH 还在 2025 年 9 月进行了一次针对 C‑suite 高管的“低价敲诈”行动:攻击者通过 Telegram 渠道公开“我们已获取贵公司 10 位高管的个人邮箱”,随后向这些邮箱的所有者发送 每封 100 美元 的勒索邮件,要求受害者在 48 小时内付款,否则将公开其私人邮件内容。

2. 攻击链细节

步骤 说明
① 邮箱收集 使用公开的公司内部通讯录、招聘信息、LinkedIn 公开资料,结合已泄露的数据库(如 2024 年的 “LinkedIn 数据泄露”)快速梳理出高管邮箱名单。
② 邮件投递 以“官方安全通知”或“法律合规提醒”为标题,诱导收件人点击恶意链接或直接在邮件正文中提供付款地址。
③ 社会压力 通过 Telegram 公开展示已经“泄露的邮件片段”,制造舆论压力,使受害者产生“面子”危机。
④ 低价敲诈 与传统勒索的高额赎金不同,此次采用 低门槛(100 美元)吸引受害者一次性付款,提升收割成功率。
⑤ 数据二次利用 若受害者不付款,攻击者会将邮件内容进一步在暗网出售,形成二次变现。

3. 教训提炼

  1. 高层防线的薄弱:高管往往因工作繁忙对安全警示产生“审美疲劳”,对邮件的真实性判断能力下降。
  2. 低价敲诈的诱惑:相较于传统高额勒索,“小钱敲诈” 更容易让受害者产生冲动支付的心理。
  3. 公开威胁的心理战:攻击者借助公开渠道(Telegram)进行舆论施压,放大了威胁的“可见度”。

安全建议
– 为所有高管配置 专属安全邮箱网关(如 DMARC、DKIM 强制落实),并启用 安全感知培训
– 对收到的涉及付款、加密货币地址的邮件实行 二次验证(电话、内部审批)
– 建立 舆情监测,及时捕捉企业名称在暗网、社交媒体的异常出现,提前预警。

二、从案例到日常:职场信息安全的六大“硬核”原则

1. 最小特权(Principle of Least Privilege)

无论是普通员工还是系统管理员,都应仅拥有完成工作所必需的权限。“权限越多,攻击面越大”。 在本案例中,RMM 工具的管理员权限正是攻击者快速植入恶意驱动的突破口。

2. 多因素认证(MFA)

单一密码已经无法抵御凭证泄露、钓鱼攻击。对所有远程登录、邮箱、内部系统强制使用 MFA,是阻止黑客横向移动的第一道防线。

3. 安全更新与补丁管理

像 BadRentdrv2 这类驱动漏洞往往在补丁发布后即被修复。企业必须实现 “补丁即服务(Patch‑as‑a‑Service)”,确保所有终端在 48 小时内完成更新。

4. 安全意识持续教育

信息安全不是一次培训结束的课题,而是 “每日一课、每周一测” 的长期行为养成。只有让安全意识像“防疫口罩”一样,成为每位员工的日常装备,才能在黑客来袭时形成集体防御。

5. 可视化监控与行为分析

现代 EDR 已不再只停留在“检测病毒”,而是通过 机器学习 对异常行为(如异常驱动加载、异常的跨域登录)进行实时告警。

6. 应急响应与演练

即使防御再严密,“万一” 仍不可忽视。企业应建立 “红蓝对抗” 演练机制,明确责任人、报告流程和恢复时序,真正把“演练”转化为“实战”。

三、数字化时代的信息安全培训——我们为什么要一起“上道”?

1. 组织的“数字血脉”需要全员守护

在过去的十年里,云平台、协同工具、AI 助手 已渗透到公司业务的每一个角落。一次不慎的点击,可能导致 整条业务链路的停摆,损失不止于金钱,更可能伤害企业声誉、客户信任,甚至触发合规处罚。正如《孙子兵法》所言:“兵贵神速”,防御的速度决定了损失的大小。

2. 安全培训的价值链

环节 直接收益 间接收益
① 知识传递 员工了解常见攻击手法(钓鱼、驱动注入、社交工程) 减少安全事件的响应成本
② 行为塑造 养成安全登录、密码管理、邮件核实的好习惯 提升整体业务流程的效率
③ 文化渗透 形成“安全就是每个人的事”的共识 增强企业对外合作的信任度
④ 持续测评 通过模拟攻击检验培训效果 为安全预算提供数据支撑

3. 培训设计的“三位一体”

  1. 理论模块:介绍最新威胁情报(如 SLH、DragonForce 的攻击模式),讲解安全基线(密码、MFA、补丁)。
  2. 实战演练:开展 钓鱼模拟、驱动加载监测、RMM 误用排查 等场景化演练,让学员在“假象攻击”中练习应对。
  3. 情境复盘:每次演练后组织 事后分析(Post‑mortem),记录发现的漏洞、改进措施,并形成文档,供全公司共享。

一句话总结:安全培训不只是“降维”知识,而是把“安全思维”深度植入业务流程,让每一次点击、每一次授权都带有“安全校验”。

四、行动号召:加入我们,携手筑起信息安全防线

1. 培训时间与方式

  • 启动时间:2025 年 12 月 5 日(周五)上午 9:00
  • 培训周期:为期 四周,每周一次线上直播(90 分钟)+ 随堂测验(15 分钟)
  • 学习平台:公司内部 安全学习门户(SecureLearn),支持移动端随时学习。

2. 培训对象

  • 全体职工(含兼职、实习生)均需完成 基础安全模块
  • 技术、运维、研发部门需额外完成 高级防御与漏洞响应 模块。
  • 管理层则需参加 安全治理与合规 课程,了解决策层面的风险管理。

3. 奖惩机制

奖励 说明
安全之星徽章 完成全部学习并取得 90 分以上者,授予公司内部数字徽章,年度评优加分。
防护积分 每次安全演练的积极参与将计入个人积分,积分可兑换公司福利(如健身卡、书籍)。
违规提醒 未按时完成培训者将收到 HR 与信息安全部门联合提醒,并在绩效评估中计入风险管理维度。

4. 资源支持

  • 专家阵容:本次培训邀请 Trustwave、Microsoft、国内顶尖安全实验室的资深分析师、威胁情报专家现场分享。
  • 学习资料:提供 《信息安全最佳实践手册》《SOC 运营指南》《AI 安全红蓝对抗实验报告》 等电子书。
  • 技术支持:公司内部 安全实验室 将提供 模拟攻击环境(sandbox),让大家在安全的沙盒中体验真实攻击场景。

我们坚信,“安全是企业的软实力”, 只有把安全意识从口号变为行动,才能在复杂的威胁环境中占据主动。让我们携手并进,在即将到来的培训中一起“升级防御”,把黑客的每一次“拚命抢劫”化作我们提升自我的契机。

五、结语——安全是一场没有终点的马拉松

古人有云:“千里之堤,溃于蚁孔”。网络空间的堤坝同样如此,一颗微不足道的安全疏漏,可能导致整座信息大厦的崩塌。

SLH 的“品牌营销”、DragonForce 的“驱动恶意”、以及 高管邮箱低价敲诈 三大案例中,我们看到 技术、组织、心理 三大维度的漏洞交织成网。只有把 技术防御、组织治理、人员学习 有机结合,才能在下一次攻击来袭时,实现 “发现—阻断—恢复” 的闭环。

请各位同事牢记:
1. 防御是系统的整体,不是单点的工具。
2. 学习是持续的,每一次培训都是一次自我升级。
3. 协同是力量,每个部门、每个人都是安全链条上的关键环节。

让我们在即将开启的安全培训中,以“知行合一”的精神,筑起一道坚不可摧的数字防线,确保企业在数字化浪潮中乘风破浪、稳健前行。

通过提升员工的安全意识和技能,昆明亭长朗然科技有限公司可以帮助您降低安全事件的发生率,减少经济损失和声誉损害。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898