文章总结： 新型勒索团伙Pink通过语音钓鱼冒充IT人员，诱导员工访问仿冒网站以劫持微软365登录会话，绕过多因素认证后利用合法云工具批量窃取文件，并采用无文件攻击规避检测。专家建议强化员工安全意识培训、监控异常下载行为、部署UEBA系统及阻断恶意域名进行防御。 综合评分： 85 文章分类： 社会工程学,勒索软件,网络安全,云安全,威胁情报

新型勒索团伙“Pink”专攻微软云，一通电话就能让企业数据瞬间蒸发

小雪 小雪

看雪学苑

2026年6月8日 17:59 上海

在小说阅读器读本章

去阅读

你有没有接过这样的电话：对方自称公司IT工程师，语气急切地让你帮忙验证一下账号？挂断前请三思——你可能正把公司云盘的大门钥匙亲手交给黑客。

近日，网络安全界曝出一则重磅消息：一个名为 “Pink” 的新型勒索犯罪团伙正利用语音钓鱼（Vishing）这一老套路，精准攻击企业的微软 Microsoft 365 云环境。即便你公司开启了多因素认证（MFA），依然可能被轻松突破。

第一步：一通电话，骗走你的登录态

根据 Palo Alto Networks 旗下 Unit 42 研究团队的监测，Pink 团伙并非靠复杂的病毒程序硬闯系统，而是玩起了“社会工程学”。他们冒充公司内部 IT 人员，给员工打电话，谎称系统需要紧急更新或验证，诱导员工访问两个仿冒网站：

• passkeyaddcom
• passkeydeploy.com

一旦员工信以为真并输入账号密码，黑客并不需要强行破解 MFA——他们直接劫持了你的实时登录会话。换句话说，他们绕过了那道“第二道锁”，大摇大摆地走进公司云盘。

第二步：几分钟内，云端文件被洗劫一空

进入 Microsoft 365 后，Pink 团伙不搞破坏，也不植入后门。他们极其高效地调用微软自带的自动化工具，迅速把 OneDrive 和 SharePoint 中的所有敏感文件拖走。整个过程仅需数分钟。

得手之后，勒索即刻开始。攻击者直接利用被入侵员工的账号，通过公司内部邮件和 Microsoft Teams 向同事发送勒索信息，给高管层下达72 小时的最后期限，要求支付赎金。

第三步：隐身术拉满，传统杀毒软件看不见

安全分析公司 Gurucul 在跟进研究后发现，Pink 团伙在本地设备上的操作极为隐蔽。他们采用无文件攻击方式——不下载任何显眼的病毒程序，而是将恶意代码直接构建在电脑的临时内存缓存中。这意味着传统的杀毒软件扫描硬盘时，根本找不到任何痕迹。

更狡猾的是，恶意代码在运行前会先“环顾四周”：如果发现自己被装进了沙箱或安全分析实验室，就会立刻停止所有恶意行为，让技术人员难以分析。

🛡️ 企业该如何防御？

由于 Pink 团伙使用的是合法的云工具和真实账号，传统防火墙几乎无法拦截。安全专家建议采取以下措施：

1. 强化员工培训：任何突然打来的“IT电话”都要通过官方渠道二次核实，不轻信、不点击、不输入。

2. 监控异常行为：重点关注日志中出现的自动化批量脚本，以及短时间内大量文件下载或迁移的异常活动。

3. 阻断恶意域名：提前将 passkeyaddcom 和 passkeydeploy.com 加入黑名单。

4. 部署行为分析系统：利用 UEBA（用户与实体行为分析）工具，及时发现正常账号下的异常操作。

Pink 团伙的出现再次证明：技术防线再高，人性的缺口依然是最短的木板。一通精心伪装的电话，足以让企业数月的数据积累在几分钟内化为乌有。

资讯来源：Palo Alto Networks Unit 42、Gurucul 安全研究报告

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 小雪 小雪《新型勒索团伙“Pink”专攻微软云，一通电话就能让企业数据瞬间蒸发》