黑客针对网络安全公司或研究人员的攻击事件已有多起发生。近期，一起利用思科域名与Cloudflare验证码的钓鱼攻击引发安全厂商警告，呼吁业界提高警惕。

安全公司Specops披露了一起针对欧洲网络安全公司的复杂网络钓鱼行动。母公司Outpost24的威胁情报团队于3月13日发现，有攻击者冒充网络设备厂商思科，实施多阶段钓鱼攻击。攻击手法高度隐蔽，黑客利用多个受信任的服务和已被入侵的基础设施，将受害者引导至合法或曾被信任的域名，以规避安全系统的拦截。此外，攻击者还部署了基于Cloudflare的验证码机制，确保只有真实用户才能看到伪造的登录页面。

攻击者首先发送伪装成金融机构摩根大通的钓鱼邮件，并刻意伪造为已有邮件对话的一部分，以提升可信度。邮件内容通常以“文件待签署”为诱饵，诱导收件人点击链接。

当收件人点击链接后，会经历多层重定向流程，途中经过合法或已被入侵的网站，以降低被拦截的概率。值得注意的是，该邮件或附件中的链接指向 secure-web.cisco.com，该域名通常用于重写电子邮件中的外部链接，以确保用户安全访问。

用户经由思科的重定向后，会被引导至电子邮件API平台Nylas。Specops认为，攻击者滥用Nylas是为了生成被思科系统视为合法的链接。

随后，用户会被导向一个看似合法的印度开发公司域名，访问指向PDF文件的网址。但实际上，服务器并未返回PDF文件，而是再次将用户重定向至 www-0159.com。在此过程中，用户需通过Cloudflare的验证码验证，才能访问部署在该云服务上的 tradixyu.cfd 域名，最终跳转至伪造的Microsoft 365登录页面。值得注意的是，该钓鱼页面不仅模仿了Outlook的加载动画效果，还会验证用户输入的账号和密码是否有效。Specops推测，攻击者使用的钓鱼工具包为Kratos。

去年也曾发生类似事件，安全公司Cloudflare与Raven发现，有攻击者滥用Proofpoint、Intermedia及思科的相关服务，对恶意网址进行“洗白”处理。