新的勒索组织Pink攻击企业用户

admin 2026-06-30 09:23:35 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 新勒索组织Pink利用社会工程学手法,通过语音钓鱼冒充IT人员窃取员工云存储凭证,滥用Microsoft自动化工具窃取OneDrive与SharePoint数据,并利用受陷账户在Teams内部发送勒索信息。该组织采用无文件技术规避检测,安全建议包括员工培训、监控异常文件下载、审查API权限及屏蔽已知钓鱼域名。 综合评分: 88 文章分类: 恶意软件,社会工程学,漏洞预警,安全运营,云安全


cover_image

新的勒索组织 Pink 攻击企业用户

亮哥亮哥 亮哥亮哥

信安社群

2026年6月9日 17:30 广东

在小说阅读器读本章

去阅读

请点击上方蓝色的【#公众号信安社群#】微信公众号一键关注!

一个新被识别的勒索组织 Pink 已成为企业组织的严重威胁,利用社会工程手法窃取云存储凭证和敏感数据。

该组织以集群代码 CL-CRI-1147 追踪,于 2026 年 5 月 31 日上线了专门的数据泄露网站,并已列出了几名首批受害者名单。

各行业的安全团队现在高度警惕,因为该组织的战术对即使是防御严密的组织也极为有效。

该组织不使用传统恶意软件,而是依靠语音钓鱼(也称为“虚拟搜索”)来获得企业网络的初步访问权限。

攻击者冒充内部 IT 人员,诱使员工访问攻击者控制的钓鱼页面,在不知情的情况下交出登录凭证和多因素认证码 。这种做法使 Pink 特别危险,因为它利用的是人类信任,而非技术漏洞。

Pink 似乎与更广泛的 Com 网络有关联,这是一个松散的网络犯罪分子社区,以激进的社交工程活动闻名。

该组织在战术上也与其他知名威胁行为者如 Lapsus$、Scattered Spider 和 ShinyHunters 有相似之处,表明这些社区存在共同的策略。

一旦获得员工账户访问权限,攻击者就会迅速行动。他们利用 Microsoft 自有的自动化工具,在云存储环境中扫描,几分钟内就能从 OneDrive 和 SharePoint 文件夹中提取文件。

掌握被盗数据后,该组织转向被攻破账户,向 Microsoft Teams 内部发送消息和电子邮件要求付款,给高管们一个紧迫的 72 小时时间进行回应。

这种内部信息传递策略让勒索对受害者来说显得更加紧迫和合理。

由于该组织使用合法员工账户和 Microsoft 自有的内部工具来传输数据,大多数防火墙和终端检测系统根本不会将该活动标记为可疑。

攻击者引导受害者进入钓鱼域名,如passkeydeploy.com 和 deploypasskey.com,捕获会话 Cookie,使该组织能够完全绕过多重身份验证,而无需再次输入受害者密码。

除了凭证盗窃,Pink 还使用无文件技术隐藏在被攻破的环境中。该团队不将大文件丢到硬盘上,而是运行小代码命令,直接在计算机的临时内存中构建负载。

这意味着扫描文件夹和硬盘的标准杀毒程序无法检测到任何威胁。代码还会进行环境检查,如果检测到安全研究沙盒,会悄悄抑制自身行为以避免分析。

员工应接受培训,在遵循指示前,尤其是在被要求访问链接或输入凭证时,先跟IT电话核实。

建议:安全团队应监控云环境中文件下载的异常激增,审查令牌授权和 API 权限,并屏蔽与 Pink 基础设施相关的已知钓鱼域名。部署行为监控工具,在数据流出网络前及时标记,也能带来关键变化。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:信安社群 亮哥亮哥 亮哥亮哥《新的勒索组织 Pink 攻击企业用户》

评论:0   参与:  0