欢迎来到 BlackFile：深入了解语音钓鱼勒索行动

标题：欢迎来到 BlackFile：深入剖析语音钓鱼勒索行动

来源网址：https://cloud.google.com/blog/topics/threat-intelligence/blackfile-vishing-extortion-operation/

发布时间：2026-05-15

作者：Austin Larsen, Tyler McLellan, Genevieve Stark, Dan Ebreo

• * *

引言

Google 威胁情报小组 (GTIG) 持续追踪一个由威胁行为者 UNC6671 发起的大规模勒索活动。UNC6671 以 "BlackFile" 为品牌进行运作，通过复杂的语音钓鱼 (vishing) 和单点登录 (SSO) 入侵技术来攻击各类组织。通过利用中间人 (AiTM) 技术绕过传统边界防御和多因素认证 (MFA)，UNC6671 得以深度访问云环境。该组织主要针对 Microsoft 365 和 Okta 基础设施，利用 Python 和 PowerShell 脚本以编程方式窃取敏感的公司数据，用于后续的勒索企图。本文详细介绍了 UNC6671 的攻击生命周期，并为防御者提供了可操作的指导，以检测和缓解这些以身份为中心的威胁。

自 2026 年初出现以来，UNC6671 一直保持着高强度的运作节奏。GTIG 评估认为，该组织已针对北美、澳大利亚和英国的数十个组织发动了攻击。

GTIG 曾在之前的报告中将 UNC6671 作为一个独立的集群进行过重点介绍，该报告详细说明了 ShinyHunters (UNC6240) 所使用的类似 SaaS 数据窃取技术。虽然 UNC6671 至少在一种情况下曾借用 ShinyHunters 的品牌来为其威胁注入人为的可信度，但 GTIG 评估认为这些行动是独立的。这一区分得到了 UNC6671 使用独立的 TOX 通信渠道、独特的域名注册模式以及推出专门的 "BlackFile" 数据泄露站点 (DLS) 的支持。

这些入侵事件并非供应商产品或基础设施存在安全漏洞的结果。相反，此活动持续凸显了社会工程学的有效性，并强调了组织转向抗钓鱼 MFA 以保护其 SaaS 和身份平台的至关重要性。

初始访问

UNC6671 的初始访问操作依赖于大规模的语音钓鱼 (vishing)，其特点通常是细致入微的社会工程学策略，并与实时凭证窃取同步进行。这些语音钓鱼电话通常由威胁行为者雇佣的"呼叫者"拨打。

#### IT 部署借口

呼叫者通常会拨打目标员工的个人手机，以绕过安全工具，并使受害者脱离标准的支持渠道。他们通常伪装成内部 IT 或服务台人员，声称必须迁移到通行密钥或需要进行多因素认证 (MFA) 更新。这个借口为引导受害者访问凭证窃取网站提供了理由，并为入侵期间可能产生的任何后续安全警报提供了合乎逻辑的掩护。UNC6671 已从独特的、针对组织定制的凭证窃取域名转向基于子域名的模式。这些域名通常在 Tucows 注册。最近的活动中使用了明确提及"通行密钥"或"注册"主题的子域名，以增强服务台借口的可信度。

• <organization>.enrollms[.]com
• <organization>.passkeyms[.]com
• <organization>.setupsso[.]com

#### 实时 MFA 拦截

语音钓鱼电话充当了实时的中间人 (AitM) 攻击。该过程遵循一个快速、程序化的生命周期：

• 重定向：受害者被引导至一个模仿组织单点登录 (SSO) 门户的相似子域名网站。
• 凭证捕获：当受害者输入其用户名和密码时，威胁行为者会实时捕获这些信息，并立即将其提交给合法的 SSO 提供商。
• MFA 绕过：当合法门户发出 MFA 质询（推送、短信或 TOTP）时，受害者（相信他们正在完成一个设置步骤）会将代码或批准信息提供给威胁行为者。
• 设备注册：获得访问权限后，威胁行为者会立即导航到用户的安全设置，注册一个新的、由攻击者控制的 MFA 设备，以确保持久性。

这种执行速度确保了威胁行为者能够在受害者或组织的安全运营中心 (SOC) 识别异常之前建立永久据点。

数据窃取

成功认证后，UNC6671 利用 SSO 访问权限在受害者的 SaaS 应用程序之间横向移动，以实施数据窃取操作。威胁行为者似乎专注于攻击 Microsoft 365 和 Okta 环境，利用被入侵的账户访问 SharePoint、OneDrive 以及其他连接的 SaaS 应用程序，如 Zendesk 和 Salesforce。在多个案例中，攻击者专门查询了内部搜索功能，查找诸如"机密"和"SSN"等字符串字面量，以优先窃取他们认为的高价值数据。

#### 程序化数据窃取

建立持久性后，UNC6671 从基于浏览器的交互式侦察转向自动化的窃取。在多次事件响应中，我们观察到他们使用脚本从 SharePoint 和 OneDrive 存储库中窃取高价值数据。

除了依赖触发标准 FileDownloaded 事件的方法外，该威胁行为者还使用了更隐蔽的手段。这些手段包括利用 Microsoft Graph 等正式 API，以及使用 python-requests 库和 PowerShell 直接向文档资源 URL 发起 HTTP GET 请求。值得注意的是，通过重新利用在初始钓鱼阶段获取的有效会话 Cookie（例如 FedAuth），攻击者能够将文件内容直接"流式传输"到其控制的攻击基础设施上。

在这些情况下，请求模拟的是标准 Web 客户端获取操作，而非正式的"下载"命令。因此，相关活动通常被记录为 FileAccessed 事件，而非 FileDownloaded 事件。这种"直接获取"的方法自然地融入了常规流量，可能绕过许多安全运营中心（SOC）的检测，因为这些 SOC 通常优先关注 FileDownloaded 事件，并将 FileAccessed 视为良性活动。

#### 取证痕迹与脚本分析

对 Microsoft 365 统一审计日志（UAL）遥测数据的分析揭示了 UNC6671 活动的几个一致的取证指标，包括脚本化数据渗漏的明确证据。最值得注意的是，威胁行为者经常表现出 User-Agent 不匹配的情况；虽然他们伪造了"Microsoft Office"的 ClientAppId 以绕过基本的条件访问过滤器，但记录的 UserAgent 字符串却显示为 python-requests/2.28.1 或 WindowsPowerShell/5.1 等脚本引擎。这种差异表明访问是由自动化脚本驱动的，而非通过 SharePoint 用户界面的人工交互。此外，这些访问尝试始终源自非标准基础设施，例如商业 VPN 出口节点和托管服务提供商。

{
  "CreationTime": "2026-02-24T14:36:15",
  "Operation": "FileDownloaded",
  "Workload": "SharePoint",
  "ClientIP": "179.43.185.226", 
  "UserId": "victim.user@organization.com",
  "UserAgent": "python-requests/2.28.1",
  "ApplicationDisplayName": "Microsoft Office",
  "IsManagedDevice": false,
  "SourceFileName": "2382_REDACTED_MSA_v3.docx",
  "SourceRelativeUrl": "Shared Documents/Legal/MasterMSA/Archive",
  "SiteUrl": "https://organization.sharepoint.com/sites/Legal_Archive/",
  "AppAccessContext": {
    "ClientAppId": "d3590ed6-52b3-4102-aeff-aad2292ab01c",
    "ClientAppName": "Microsoft Office",
    "TokenIssuedAtTime": "1601-01-01T00:00:00"
  }
}

图 1：在早期 UNC6671 入侵中观察到的 FileDownloaded 事件

{
  "CreationTime": "2026-03-18T20:06:41",
  "Operation": "FileAccessed",
  "Workload": "SharePoint",
  "UserId": "victim.user@company.com",
  "ClientIP": "179.43.185.226", 
  "UserAgent": "python-requests/2.28.1",
  "ApplicationDisplayName": "python-requests",
  "IsManagedDevice": false,
  "SourceRelativeUrl": "Shared Documents/Data Analytics/Power BI Version History",
  "SourceFileName": "Weekly Production Report.pbix",
  "SiteUrl": "https://company.sharepoint.com/sites/ProductionOps/",
  "AppAccessContext": {
    "ClientAppName": "python-requests",
    "CorrelationId": "b94b01a2-2019-c000-2262-5ff1d0ff6cc8"
  }
}

图 2：来自后期 UNC6671 入侵的 FileAccessed 事件

UNC6671 数据渗漏的速度和规模也反映了这些脚本的自动化特性，这使得威胁行为者能够高速渗漏海量数据。在一个案例中，威胁行为者使用其 Python 脚本，从一个远程 IP 地址访问并下载了受害者 SharePoint 和 OneDrive 环境中的超过一百万份独立文件。在另一个案例中，威胁行为者快速遍历了数万次 SharePoint 文件交互。

勒索

UNC6671 实施高度针对性的勒索活动，首先从程序化生成的消费者电子邮件账户发送无品牌标识的勒索信。一旦受害者通过威胁行为者在初始勒索信中提供的唯一加密通信渠道（如 Tox 或 Session）进行联系，操作者便会以"BlackFile"品牌自居。虽然操作者通常以数百万美元的要价开启谈判，但当受害者积极回应时，他们往往会转向六位数低位的要价。值得注意的是，虽然初始电子邮件通常没有错误，但至少部分后续邮件中存在错误，表明这些邮件是人工生成的。

如果操作者遭遇沉默或抵抗，该组织会积极升级施压手段。在最近的一起事件中，当受害者未作回应后，UNC6671 转向了激进的垃圾邮件活动。他们使用数十个具有随机生成用户名的 Gmail 账户，在基于其发送行为的自动化限制措施生效且账户被限制之前，向员工邮箱大量发送消息。我们还观察到这些威胁行为者向 C 级高管发送威胁性语音邮件，在严重情况下，甚至对公司人员使用"报假警"（swatting）策略。

主题： [公司名称] 数据泄露 72 小时内联系我们

发件人：[伪随机字母数字字符串]@gmail.com

尊敬的 [公司名称] 高管和人力资源部门：

由于贵公司糟糕的安全实践和疏忽的数据存储方式，我们已成功从贵公司网络导出了约 [X] TB 的数据。

以下是从贵公司网络导出数据的简要概述：

1. 超过 [X] GB 的内部公司文件（SharePoint 和 OneDrive），包含机密业务流程、保密协议、项目成本估算、分包商合同和人力资源记录。
2. 来自高管邮箱的数万封电子邮件，包括机密文件。
3. 完整的 CRM 和支持工单导出（Salesforce 和 Zendesk），包含数十万条客户记录、个人身份信息（PII）、账单详情和通信日志。
4. 完整的企业目录（Entra）转储，包括员工姓名、手机号码、职位和层级结构。

1. ~[X] ServiceNow IT 基础设施记录（计算机、服务器、云资源）。

您有整整 72 小时联系下方提供的 [Tox / Session] ID。如果您未能在规定时间内联系我们提供的 ID，我们将被迫将您的数据公之于众。我们还将被迫通过提供的员工团队联系电话号码和电子邮件地址联系您合作的每家公司，并解释 [公司名称] 的安全协议有多么糟糕，且不关心其客户。

我们愿意进行真诚的谈判。一旦与我们联系，我们将向您发送一份从您网络导出的所有数据的完整列表供您审查。您将能够选择最多 3 个文件来确认和验证我们拥有我们所声称的内容。

[Tox / Session] ID: [唯一的字母数字字符串]

在这种情况下，沉默可能并不总是明智的。我们不会被忽视。做出正确的选择并与我们合作，这样对您来说可以成为一次学习经历。

图 3：UNC6671 初始无品牌勒索信的通用示例

主题: [公司名称] 数据泄露 72 小时内联系我们

发件人:[伪随机字母数字字符串]@gmail.com

尊敬的执行人员：

您选择了无视我们第一次的联系期限。这并不明智，不要忽视我们，这只会让事情变得更糟。我们是 BlackFile。不要和我们玩游戏。我们给出最后 72 小时的期限来联系我们，以便我们能达成协议。

我们从您的 SharePoint 和 M365 实例中复制了超过 [X] TB 的数据（法律文件、运营文件、客户文件、销售文件、开发文件等），超过 [X] GB 的 Salesforce 数据，[X]+ 名客户的完整 ZenDesk 支持工单导出，包括新旧工单及其内容的所有工单历史记录。从您网络获取的总数据量超过 [X] TB。

请不要惊慌，您可以通过选择与我们合作来确保数据的安全。截至目前，从您网络获取的任何信息都未向公众披露或与第三方共享。

请通过 Session 联系我们以获取所有细节和我们访问您网络的证据。我们将使用 Session 与您沟通。您可以通过访问 getsession(.)org 获取 Session。

请使用以下 ID 通过 Session 联系我们：[唯一的 Session ID]

请勿回复此电子邮件。相反，请通知您的其他人力资源部门和安全运营中心/IT 安全团队。我们给您最后 72 小时的期限，通过 Session 联系我们以确认您已收到此邮件。

如果您第二次未能联系我们，那么我们从您网络获取的大部分电子邮件联系人将收到我们的通知，解释您未能与我们达成协议以保护您客户的个人身份信息和其他敏感信息。此外，我们将向记者通报此次泄露事件以及您未能与我们达成解决方案的情况，最后会将从您那里获取的所有数据上传到我们的博客供公众查阅。

不要让数据恢复公司告诉您不要与我们谈判。我们是 BlackFile，我们不玩游戏。我们从您那里获取的数据如果被公开，可能会严重损害您的声誉，忽视我们真的值得吗？

Blackfile

图 4：通用示例后续勒索邮件，其中包含了初始消息中没有的品牌标识

#### 勒索信的演变

在 2026 年初的整个运营过程中，UNC6671 的勒索信在格式、品牌标识和沟通方式上均有所演变。最初，威胁行为者使用极具攻击性、期限极短的措辞，通常给早期受害者 24 或 48 小时的回应时间窗口。这种情况在 1 月下旬似乎变得更加标准化，他们给后续目标设定了严格的 72 小时期限。他们的电子邮件主题行也演变为一种正式的、全大写结构：[公司名称] 数据泄露 72 小时内联系我们。

在同一时期，该组织的身份标识和偏好的沟通渠道也发生了变化。早期的勒索邮件没有品牌标识，行为者要求通过 Tox（一种点对点即时消息协议）联系。到 2026 年 2 月，该组织正式采用了 "BlackFile" 的名称，并将其沟通要求完全转向 Session（一种去中心化、注重隐私的通讯工具），向受害者提供 Session ID 和客户端下载说明。此外，虽然早期的勒索信是从容易被垃圾邮件过滤器标记或忽略的外部电子邮件地址发送的，但至少从 2026 年 3 月起，UNC6671 开始利用被劫持的内部企业电子邮件和 Microsoft Teams 账户。

##### BlackFile 数据泄露网站 (DLS)

威胁行为者于 2026 年 2 月 6 日推出了 BlackFile 数据泄露网站 (DLS)，声称以 "安全研究人员" 的身份运作。尽管维护着一个专门的 DLS，但该组织的数据曝光方式与其他行为者采用的"最大化宣传、高噪音"模式大相径庭。UNC6671 不公开宣传其泄露网站，也不试图为其建立搜索引擎索引。此外，该组织通常只泄露有限的文件样本和目录列表，而不是完整的数据集；迄今为止，GTIG 尚未观察到该行为者完整泄露受害者数据。

图 5：BlackFile DLS

图 6：BlackFile DLS 删除流程

值得注意的是，BlackFile 数据泄露网站（DLS）于 2026 年 4 月下旬下线，但在 2026 年 5 月 11 日短暂恢复上线，分享了以下消息后再次关闭。在这条消息中，威胁行为者表示"BlackFile 正在关闭……以这个名字"。截至本文发布时，该 DLS 网站已无法访问。

图 7：BlackFile DLS 关闭公告

补救与加固

GTIG 建议采取以下缓解措施和狩猎策略：

• 部署凭据防护： 配置环境特定的保护措施，在凭据提交的关键节点进行拦截。在 Google Workspace 中，启用密码警报（Password Alert）以监控企业密码哈希是否被输入到未经授权的域名。对于 Microsoft 环境，利用 Microsoft Defender 的凭据保护（Credential Protection）和 SmartScreen 来拦截向已知钓鱼网站或低信誉度网站提交的凭据。这些自动化技术控制措施可作为最后一道安全防线，当用户无意中与恶意页面交互时，会立即触发密码重置或安全警报。

• 实施抗钓鱼多因素认证（MFA）： 逐步淘汰基于短信或推送通知的 MFA。实施符合 FIDO2 标准的安全密钥或通行密钥，这些方式能够抵御 UNC6671 所使用的中间人攻击和语音钓鱼策略。

• 监控身份提供商（IdP）日志： 审查身份提供商日志中，system.multifactor.factor.setup 事件之前是否紧跟着 user.authentication.auth_via_mfa 失败或"已放弃"的质询。

• 关联基础设施： 对源自已知商业 VPN 或托管服务提供商、且与用户典型地理位置不符的认证尝试发出警报。

• 审计 SaaS API 活动： 监控 Microsoft 365、SharePoint 和 Salesforce 的审计日志，查找源自通用脚本用户代理（例如 PowerShell、Python）的异常、大批量文件下载事件（FileDownloaded 或 FileAccessed 事件）。

• 监控用户代理： 监控设备上出现的、先前未与用户配置文件关联的特定 IdP SDK 用户代理。

• 重新评估"访问"事件的严重性： 当 User-Agent 标识为编程库（Python、Go 等）或命令行工具时，安全运营中心应将 FileAccessed 事件视为与 FileDownloaded 事件同等严重。

• 审计直接文件流访问： 监控 FileAccessed 日志，其中 AppAccessContext 指示为无头客户端，或在短时间内"已访问"文件的数量超出人工浏览能力。

展望与影响

BlackFile 数据泄露网站最近的关闭，加上攻击者自己声明将"以这个名字"关闭，这标志着其威胁活动可能进入一个过渡阶段，而非永久停止。勒索软件生态系统中的历史先例表明，主要的威胁集群在遭到破坏或主动关闭后，通常会进行品牌重塑或分散其运营。这些事件可能具有多种战略目的：逃避执法部门或竞争对手的审查、悄悄解决悬而未决的勒索案件，或者准备转向一个更具可行性的品牌，同时也为威胁行为者留出时间重组和/或建立新的基础设施。即使 BlackFile 品牌永久消失，UNC6671 所利用的技术，特别是他们专注于从云和 SaaS 环境中窃取数据的行为，代表了网络犯罪威胁格局中一个非常成功的趋势，我们在 Google Cloud 2026 年上半年云威胁视野报告中也强调了这一点。组织可以查阅我们之前的博客文章，其中提供了可操作的加固、日志记录和检测建议，以帮助防范这些威胁。

入侵指标

为了帮助更广泛的社区进行狩猎和识别本文概述的活动，我们为注册用户提供了一个免费的 GTI 集合，其中包含入侵指标。截至本文发布时，已识别的钓鱼域名已添加到 Google 安全浏览（Google Safe Browsing）中。

虽然此集合提供了全面的入侵指标列表，但防御者应注意，大多数已识别的 IP 地址是商业 VPN 节点，并且实际源 IP 往往会随着攻击者不断轮换新基础设施而变化。此外，这些域名通常在注册后几分钟内就被建立和使用；因此，提供它们主要是作为过去命名惯例和使用模式的示例，而非作为实时阻止的主要机制。

Google 安全运营

Google 安全运营客户可以通过 Okta 和 O365 规则包中的广泛类别规则，检测本报告中概述的行为。本文讨论的活动在 Google 安全运营中通过以下规则名称进行检测：

• Okta 管理控制台访问失败
• 来自匿名化 IP 的 Okta 可疑操作
• 通过 PowerShell 进行的 O365 SharePoint 批量文件访问或下载
• O365 SharePoint 高容量文件访问事件
• O365 SharePoint 查询专有或特权信息

发布在

• 威胁情报