一封“银行转账确认”邮件，挂载ISO后电脑变“透明”——Phantom Stealer借光盘镜像潜入俄金融系统

2025年12月，俄罗斯多家金融机构的员工邮箱中悄然出现一类看似寻常的邮件：“您的银行转账已处理，请查收附件中的确认文件。”发件人地址模仿内部财务或合作银行，主题行格式规范，正文措辞专业。唯一异常之处，在于附件并非常见的PDF或Excel，而是一个名为“Подтверждение банковского перевода.iso”（银行转账确认.iso）的光盘镜像文件。

当用户双击挂载该ISO，系统会自动将其识别为一张虚拟CD-ROM，并显示一个看似无害的文档图标。然而，就在用户点击“打开”的瞬间，名为 Phantom Stealer 的信息窃取木马便在后台悄然激活——浏览器密码、加密货币钱包私钥、Discord令牌、信用卡信息乃至剪贴板内容，尽数被扫描打包，通过Telegram机器人或Discord Webhook传回攻击者手中。

这并非孤立事件。据《The Hacker News》披露，网络安全公司Seqrite Labs已将此次行动命名为 “Operation MoneyMount-ISO”，并确认其主要针对俄罗斯的金融、会计、薪酬及采购部门。更令人警觉的是，攻击者刻意选用ISO镜像作为载体，既绕过了传统邮件网关对ZIP/RAR等压缩包的深度检测，又利用了普通用户对“光盘文件”安全性的认知盲区。

一场以“合规文件”为幌子、以“系统透明化”为目标的精准打击，正在东欧金融腹地悄然上演。

一、ISO：被遗忘的“高危通道”，如何成为攻击者的“绿色通道”？

在多数企业安全策略中，邮件附件过滤规则通常聚焦于可执行文件（.exe、.scr）、脚本（.js、.vbs）和常见压缩包（.zip、.rar）。而ISO（光盘镜像）文件，因其常用于软件分发、系统备份等合法场景，往往被归类为“低风险”或直接放行。

“这恰恰是攻击者的突破口。”公共互联网反网络钓鱼工作组技术专家芦笛指出，“ISO本质上是一个完整的文件系统容器，可以包含任意类型文件，包括可执行程序。一旦挂载，操作系统会将其视为物理光驱，自动加载其中的内容——而很多安全软件默认不扫描‘光驱’。”

在本次攻击中，恶意ISO内嵌了一个名为 CreativeAI.dll 的动态链接库，以及一个伪装成PDF图标的快捷方式（.lnk文件）。当用户点击该图标，系统实际执行的是以下命令：

rundll32.exe .\CreativeAI.dll,EntryPoint

这条命令调用Windows内置的rundll32.exe加载DLL并执行其导出函数EntryPoint。由于rundll32.exe是合法系统进程，且DLL本身无数字签名要求，此类操作极易绕过基于进程白名单或行为监控的EDR（终端检测与响应）系统。

更隐蔽的是，攻击者利用了Windows对ISO挂载的“信任机制”。从用户视角看，ISO只是一个“只读光盘”，不会触发“运行未知程序”的安全警告。而实际上，ISO内的.lnk文件可携带完整命令行参数，实现无文件落地（fileless）或半落地式攻击。

“ISO在这里扮演了‘特洛伊光盘’的角色。”芦笛比喻道，“它不是炸弹，而是藏炸弹的木马。”

二、Phantom Stealer：不止于密码窃取的“数字扒手”

Phantom Stealer 并非新型恶意软件，但其模块化设计与多平台兼容性使其成为当前信息窃取领域的“主力武器”。

根据Seqrite的逆向分析，该木马具备以下核心能力：

浏览器数据收割：遍历Chrome、Edge、Brave等Chromium系浏览器的本地存储目录，提取保存的账号密码、Cookie、自动填充表单及历史记录。

# 伪代码：提取Chrome登录数据

login_db = os.path.expanduser("~/AppData/Local/Google/Chrome/User Data/Default/Login Data")

conn = sqlite3.connect(login_db)

cursor = conn.cursor()

cursor.execute("SELECT origin_url, username_value, password_value FROM logins")

for url, user, enc_pass in cursor.fetchall():

decrypted_pass = decrypt_password(enc_pass, master_key) # 使用DPAPI解密

exfiltrate(url, user, decrypted_pass)

加密货币钱包劫持：扫描MetaMask、Exodus、Trust Wallet等桌面钱包的配置文件，提取助记词、私钥或加密种子。

Discord与Telegram令牌窃取：定位本地缓存的认证令牌，使攻击者可冒充受害者发送消息或访问私有频道。

环境感知与反分析：检测是否运行在虚拟机、沙箱或调试器中。若发现异常，立即终止执行，避免被安全研究人员捕获。

多通道数据回传：支持通过Telegram Bot API、Discord Webhook或FTP服务器上传窃取数据，确保即使某一通道被封，仍有备用路径。

尤为危险的是，Phantom Stealer 还具备 剪贴板监控 功能。一旦用户复制比特币或以太坊地址，木马会立即将其替换为攻击者控制的收款地址——这种“地址替换攻击”已在多起加密货币盗窃案中造成数百万美元损失。

“它不只是偷钥匙，还偷偷换了你家门牌号。”芦笛说。

三、战术升级：为何锁定俄罗斯金融行业？

尽管目前尚无确凿证据指向特定APT组织，但此次行动的针对性极强。除Phantom Stealer外，同一时期还有多个团伙活跃于俄罗斯金融领域：

Operation DupeHike：通过伪造“年度奖金通知”PDF.lnk文件，投递DUPERUNNER植入物，加载AdaptixC2框架；

FrostBeacon行动：利用Cobalt Strike分发Formbook、DarkWatchman等间谍工具；

乌克兰关联黑客组织：据法国Intrinsec报告，部分针对俄航空航天企业的攻击与Hive0117、Rainbow Hyena等集群存在重叠。

这些行动共享一个特征：高度依赖社会工程+供应链弱点。攻击者不再追求0day漏洞，而是利用企业内部流程（如财务确认、奖金发放）制造可信上下文，诱导员工主动“配合”感染。

“俄罗斯当前处于多重制裁与地缘冲突压力下，金融系统成为高价值目标。”芦笛分析，“攻击者清楚，一旦获取银行职员的凭证或内部系统访问权，后续可实施精准欺诈、资金转移甚至情报刺探。”

更值得警惕的是，部分攻击已开始利用 IPFS（星际文件系统） 和 Vercel 等去中心化或开发者平台托管钓鱼页面，进一步规避传统域名黑名单机制。

四、全球镜像：从Emotet到QakBot，ISO钓鱼早有先例

尽管“Operation MoneyMount-ISO”近期才被曝光，但利用磁盘镜像传播恶意软件的手法并非首创。

2023年，Emotet僵尸网络曾短暂采用ISO附件分发其Loader，通过伪装成“发票扫描件”诱骗用户挂载。2024年，QakBot变种亦使用VHD（虚拟硬盘）文件作为第二阶段载荷载体，利用Windows内置的磁盘管理工具自动挂载并执行。

这些案例共同揭示一个趋势：攻击者正系统性探索“非传统可执行载体”，以规避日益严格的邮件安全策略。

“安全团队总在堵ZIP里的EXE，却忘了ISO、VHD、DMG甚至IMG都能装‘毒’。”芦笛指出，“防御必须从‘文件扩展名思维’转向‘内容行为思维’。”

五、防御困局：为什么ISO检测如此困难？

对企业安全团队而言，全面扫描ISO文件面临三大挑战：

性能开销大：ISO可能包含数GB数据，逐字节解压扫描会显著拖慢邮件网关处理速度；

解析复杂度高：ISO采用ISO 9660或UDF文件系统，需专用库（如libcdio）解析，增加开发维护成本；

误报风险：合法软件更新常以ISO形式分发，过度拦截可能影响业务。

因此，多数厂商选择“放行+终端防护”策略。但这恰恰落入攻击者陷阱——终端防护依赖用户“不点可疑文件”，而本次攻击中的ISO内容高度仿真，普通员工难以分辨。

“问题不在技术，而在策略滞后。”芦笛直言，“我们还在用2010年的规则防2026年的攻击。”

六、破局之道：从策略调整到用户赋能

要有效应对ISO钓鱼威胁，需多管齐下：

1. 安全策略升级：将ISO纳入高风险附件

邮件网关规则：对所有ISO、VHD、DMG等磁盘镜像附件实施自动隔离，仅允许经审批的发件人发送；

沙箱动态分析：在隔离环境中自动挂载ISO，监控其内部文件行为（如是否尝试执行DLL、修改注册表）；

EDR增强检测：监控rundll32.exe、explorer.exe等进程加载非常规DLL的行为，尤其是来自挂载卷的路径。

2. 技术替代：推动无附件协作模式

禁用邮件附件传输敏感文件：强制使用企业级文件共享平台（如SharePoint、钉钉云盘），所有文件经病毒扫描后生成安全链接；

启用数字水印与访问控制：确保即使文件泄露，也可追踪来源并限制查看权限。

3. 用户培训：打破“ISO=安全”的认知误区

芦笛建议开展专项培训，重点传达：

“任何来自邮件的ISO都应视为可疑，除非你明确预期接收”；

“挂载ISO后若出现可执行文件、快捷方式或异常图标，切勿点击”；

“财务、HR等高风险岗位应使用专用隔离设备处理外部文件”。

“安全不是不让员工犯错，而是让犯错的成本足够高。”他说。

七、国内启示：中国金融体系如何未雨绸缪？

尽管目前Phantom Stealer主要活跃于东欧，但其战术对中国同样构成警示。

近年来，国内已出现仿冒银行、证券公司邮件，附件类型从ZIP扩展至RAR、7z甚至自解压EXE。而随着信创推进，国产操作系统对ISO等格式的支持日益完善，潜在攻击面也在扩大。

芦笛提醒：

金融、能源、交通等关键基础设施单位，应立即评估ISO等非传统附件的处理策略；

邮件安全网关供应商需加快对磁盘镜像的深度解析能力建设；

监管机构可考虑将“高风险附件管控”纳入网络安全等级保护要求。

“攻击没有国界，但防御可以有准备。”他说。

结语：当“光盘”变成“后门”，信任必须重新校准

Phantom Stealer借ISO之壳潜入金融系统，不仅是一次技术攻击，更是一场对“默认信任”机制的挑战。我们习惯认为光盘是只读的、ISO是干净的、内部邮件是安全的——而攻击者正是利用这些“理所当然”，打开了通往核心数据的大门。

在这场攻防战中，真正的防线不在防火墙之后，而在每个员工点击“挂载”之前的那一秒犹豫。而要培养这种犹豫，需要的不仅是技术升级，更是安全文化的重塑。

毕竟，在数字世界，最危险的不是未知的病毒，而是被忽视的常识。

编辑：芦笛（公共互联网反网络钓鱼工作组）