最新邮件攻击模拟
THREAT KNOWLEDGE BASE
基于 2025-2026 公开威胁情报整理的邮件攻击案例复盘,覆盖投递链路、邮件特征、检测模块与处置建议,可作为分析师培训与红蓝对抗素材。
本栏目收集 2025-2026 年公开披露、来源可靠(CISA、Microsoft Threat Intelligence、Mandiant、Proofpoint、Cisco Talos、FBI IC3、Sophos、Abnormal Security 等)的邮件攻击案例,并按统一模板复盘:
- 攻击链 — 从初始投递到最终目标的完整 kill chain
- 邮件特征 — 发件人、主题、正文、附件、链接的可观测信号
- Vigilyx 检测要点 — 哪些检测模块会命中,置信度大致区间
- 防御建议 — 网关侧规则、用户侧培训、IR 处置要点
⚠️ 本栏目所有邮件样本均经过脱敏处理,仅用于安全研究、检测能力评估与员工反钓鱼培训,不得用于任何实际攻击或社工演练之外的用途。
案例索引
ClickFix / Fake CAPTCHA 投递载荷
假 CAPTCHA 诱导用户复制粘贴 PowerShell,绕过附件扫描。
Storm-2372 Device Code 钓鱼
滥用 Microsoft OAuth 设备码授权流,受害者在合法登录页授权攻击者。
Quishing / QR 码钓鱼
二维码图片承载钓鱼 URL,绕过传统链接检测。
HTML 拼凑文字 / 同形混淆绕过
零宽字符 + HTML 实体 + display:none 让关键词扫描全失。
HTML 走私投递勒索软件加载器
HTML 附件用 JavaScript Blob 在浏览器内还原可执行文件。
Tycoon 2FA / EvilProxy AiTM 钓鱼
中间人代理实时窃取 session cookie,MFA 形同虚设。
VEC 供应商账户接管 BEC
用真实供应商邮箱发起的发票欺诈,DMARC/SPF 全部通过。
TOAD 电话钓鱼
纯文本邮件诱骗受害者拨打假客服热线,话术诱导安装 RMM 或念出 OAuth 设备码。
交互式动画
每篇案例都包含可播放的攻击链动画——按 ▶ 即可分步演示从攻击者发起到 Vigilyx 拦截的完整过程,自动适配中英文,最后一步统一展示「Vigilyx 检测到了什么」。动画也支持「→ 下一步」单步推进,方便培训讲解时停留分析。
Vigilyx 检测能力一览
每篇案例末尾都有「✅ Vigilyx 对该攻击的检测能力」段落,把对应的攻击手法 → Vigilyx 的检测模块 → 真实代码位置一一对应。这些不是 marketing 承诺,是引擎里有实际代码、有单元测试覆盖的能力——可以在 GitHub 仓库逐项核对。
使用建议
蓝队 / SOC 分析师: 对照每个案例的「Vigilyx 检测要点」,在自己的环境中验证对应模块是否启用、阈值是否合理。如果某条线索 Vigilyx 没有覆盖,可以在 knowledgeArticles 提 issue 或 PR。
红队 / 反钓鱼演练: 邮件样本的句式、主题、伪造头部可作为合规授权下演练模板的参考。严禁直接复制其中的真实域名、IP 或哈希作为靶场指标——它们指向真实受害者,公开复用会污染情报。
管理层 / 培训: 每个案例末尾有「员工识别要点」段落,可直接抽出来做季度反钓鱼培训的素材。
更新节奏
- 重大事件(CISA Alert、Microsoft Blog、APT 公开报告)一周内增补
- 已收录案例若有重要后续披露(如归因更新、IOC 扩展),保留原文章并追加「更新日志」段落
- 旧案例不删除,作为长期对照材料保留