20 多个被劫持的政府网站沦为攻击通道
导语:ANY.RUN 披露的 PhantomEnigma 活动表明,超过 20 个巴西政府网站被劫持为恶意软件投递通道,通过仿冒警方钓鱼邮件、利用通过 SPF/DKIM/DMARC 验证的被入侵邮箱,以及模块化 Node.js 后门,对银行和公共机构构成持续威胁。
交互式恶意软件分析与威胁情报解决方案领先提供商 ANY.RUN 披露了一起活跃的 PhantomEnigma 活动,超过 20 个巴西政府网站被劫持并被改造成恶意软件投递通道。该调查揭示了此前未被记录的后门行为、隐蔽的基础设施关联,以及这场活动背后的多个攻击分支,使银行和公共机构面临风险。
通过关联数百个看似无关的沙箱会话,ANY.RUN 的研究人员揭示了该行动的更广范围,并展示了受信的 .gov.br 链接和通过身份验证的邮件如何帮助该活动保持隐蔽。
攻击以仿冒警方主题的文件开始,伪装成官方的 "Ofício Polícia Civil"(民事警察公函)或 "Procuração Digital"(数字授权书)通知。部分文档包含二维码,另一些则将受害者引向看起来像合法政府资源的链接。在多个案例中,这些邮件通过被入侵的邮箱发送,并通过了 SPF、DKIM 和 DMARC 检查,这使消息比普通伪造的网络钓鱼邮件更具合法性外观。
受害者随后被重定向,经由被入侵的 .gov.br 主机或仿冒警方主题的相似域名,最终抵达恶意安装程序。政府系统被当作受信的投递基础设施使用,而非该活动的主要攻击目标。调查中观察到的被入侵系统包括 timon.ma.gov[.]br、loginam.sesp.es.gov[.]br(州公共安全部门)、aplicacao.cbm.mt.gov[.]br(消防部门)、prodoc.ap.gov[.]br 等。

这些合法的市政、公共安全和司法门户被用于投递链的不同阶段。其中一些还出现在多个 PhantomEnigma 攻击分支中,帮助研究人员将最初看似无关的活动联系起来。时间线显示该行动沿两条主要路径演进:投递方面,PhantomEnigma 从 2025 年以银行为目标的攻击,过渡到 2026 年滥用被入侵的 .gov.br 网站和电子邮件账户,使活动获得了更受信的抵达受害者的路径,但并未确认新的目标群体。
武器库方面,恶意软件从浏览器扩展银行木马的形态,进化为模块化的 Inno/Node.js 后门,能够执行 JavaScript 并投递额外的载荷。一旦受害者与诱饵互动,活动便进入多阶段感染链。沙箱会话所暴露的并非简单的下载器——隐藏在打过补丁的 Boostnote 等应用之中的是一个模块化的 index.js 后门,用于识别受感染机器、维持访问权限并按需投递不同的载荷。
模块化设计使攻击者能够在不重建整个感染链的情况下更改最终载荷。最初接触同一安装程序的系统之后可能接收到窃取器、加载器、远程管理工具或其他可执行文件,使检测和遏制都变得更加困难。对安全团队而言,这种组合造成了严重的可见性缺口:受信的基础设施降低了怀疑程度,模块化载荷可在感染后变化,快速轮换的 C2 域名使静态黑名单很快过时;随着活动演进,行为分析和持续威胁狩猎能够提供更可靠的覆盖能力。
PhantomEnigma 表明攻击者如何将受信基础设施转化为检测优势。合法的政府域名、通过身份验证的邮件或干净的查杀判定,都可能在感染链已经激活的情况下降低怀疑。对于银行和公共部门组织而言,风险已超出单个被入侵终端的范畴。窃取的凭证和持久化的后门访问可能暴露内部系统、敏感数据和金融业务,同时零散的告警也会延迟响应处置。
来源信息
来源:The Hacker News
原文链接:https://thehackernews.com/2026/07/20-hijacked-government-websites.html
作者:info@thehackernews.com (The Hacker News)

