Kratos 的崛起:新型釣魚服務套件如何工業化網路犯罪

負責分析師: Jeewan Singh Jalal, Prabhakaran Ravichandhiran 和 Anand Bodke

到2026年底,預計超過90%的所有憑證被盜攻擊將是由模組化的Phishing-as-a-Service(PhaaS)工具包所驅動,例如這個複雜的全球威脅Kratos。

這個具有攻擊性的平臺已經開始重塑威脅環境。在其核心,Phishing-as-a-Service (PhaaS) 是一種惡意的雲端服務,讓網路釣魚攻擊的部署變得更容易,並且相較於傳統的網路釣魚與惡意軟體攻擊,更新功能的速度也更快。

KnowBe4 威脅實驗室 在2026年初首次觀察到 Kratos PhaaS 後,立刻展開了徹底的調查。這項調查讓我們得以深入了解這個平台的內部運作,讓分析師能夠對其程式碼進行去混淆,並繪製出其複雜的操作邏輯。

Kratos是從其以往作為商業特洛伊木馬和資訊盜竊者的生命演變而來。它現在是一個全面的釣魚平台,專注於基於網路的資料收集和管理。該平台旨在集中管理行動,讓進階的釣魚工具普及化,並推動高容量的攻擊活動,目標是遍及超過20個國家的受害者。目前,主要的焦點集中在美國,該國佔總檢測的33%。

克雷托斯攻擊目標地圖。

Kratos PhaaS Kit: 主要特點

這篇研究分析突顯了Kratos PhaaS套件的以下主要平台功能:

  • 進階儀表板: Kratos 擁有一個複雜的管理控制面板,旨在提升作業效率並集中管理行銷活動。
  • Adobe主題精確度: 最近在20多個國家展開的激進行動,利用高保真的付款授權誘餌來侵犯 Adobe 品牌。
  • 解耦架構: 前端釣魚頁面與後端數據儲存之間的隔離,確保即使 URL 被關閉,所收集的數據仍然可存取。
  • 反分析防禦: 此工具包提供反機器人保護與流量過濾,使用 CAPTCHA 來控制來自爬蟲、VPN 和代理伺服器的訪問。
  • 基於 Telegram 的資料外洩架構: Kratos 利用 Telegram 的集中和加密基礎設施,進行即時憑證外洩。該釣魚工具包過濾掉機器人和非目標區域,捕獲受害者資料(憑證、IP、地理位置、設備類型),並將其以 JSON 日誌形式在網頁伺服器上本地儲存,同時將憑證即時傳送至攻擊者控制的機器人以便即時利用。

攻擊流程架構

Kratos平台採用圓形的、高度韌性的邏輯設計,旨在最大化資料獲取,同時減少攻擊者的痕跡。該工具的後端捕捉關鍵訪客資料和地理位置,並儲存在網路伺服器的儲存空間中,以過濾掉安全研究人員和非目標區域。在成功輸入憑證後,該工具使用基於JavaScript的解耦架構來處理被竊取的資料。

盜取的憑證會被包裝成 JSON 格式,這是一種常用的基於 XML 的格式,並直接推送到攻擊者的 Telegram 頻道,這是一個非常流行的應用程式,擁有數千萬的用戶。透過使用 Telegram 作為最終的資料儲存區,攻擊者可以確保即使釣魚網站的 URL 被關閉,所收集的資料仍然能夠安全保留。

社交工程負責人:Adobe 假冒

KnowBe4 Threat Labs的初步發現是由一個高度精密的Adobe主題社交工程手法所啟發。這個行動精心模擬了Adobe Creative Cloud和Document Cloud用戶的帳單及行政工作流程。選擇Adobe作為策略誘餌,是因為它在企業中的整合性及用戶對於發票和付款通知的迫切需求。

實例:釣魚詐騙的誘餌

這是一個真實世界的釣魚攻擊範例,來源於 KnowBe4 PhishER Plus 控制台,是發現的主要線索。

調查結果:Kratos 管理介面

 Kratos 管理後台

Kratos 管理控制台提供即時訪客分析與活動管理。

分析顯示出一個儀表板,提供詳細的訪客分析,透過像是 geoplugin.net 的服務來追蹤並地理定位受害者。這使得攻擊者能夠捕捉受害者的 IP 地址、地點、設備及瀏覽器的具體資訊,以便在進行攻擊時繞過基於設備的安全警報。

設定面板概述

  • 發送結果: 配置透過 Telegram 或 Email 的外洩,並定義有效、無效或所有提交的觸發條件。
  • 機器人保護: 使用 CAPTCHA 解決方案(reCAPTCHA、Turnstile、hCaptcha)實施反自動化防護。
  • 檔案管理: 於套件內部目錄中整理提交內容,建議使用 JSON 格式並定期備份。
  • 地理與設備限制: 透過國家白名單和設備類型切換(桌面、行動、平板)來控制受害者的訪問。
  • 管理安全: 以主密碼、基於 Telegram 的雙重驗證及自訂的會話管理來保護面板。

有效載荷生成器

Kratos 提供了一個點擊式介面,支援多種 Payload 類型,利用「自動抓取」技術來顯得個人化,並使用像是 ++email64++ 這樣的模板。

  1. 連結: 建立具針對性的連結並進行子網域隨機化。
  2. QR 碼: 針對行動使用者,繞過傳統的電子郵件連結掃描。
  3. HTML/SVG 附件: 具有武器化特性的「隱形 HTML」文件,利用混淆技術。
  4. ICS 行事曆檔案: 從「Microsoft Teams」發送的邀請中注入惡意連結。
  5. EML 郵件檔案: 符合 RFC 標準的郵件檔案,可以通過身份認證控制(SPF, DKIM, DMARC)來包裹惡意內容於合法的外部郵件中。
  6. PDF/DOCX 文件: 具有武器化特性的文件,內嵌 QR 碼,瞄準那些認為這些格式比連結更安全的使用者。
ICS 行事曆邀請的範例

在 Kratos Dashboard 上的 ICS 日曆邀請範本。

資料外洩:Telegram 鏈接
透過 Telegram Bot API 令牌配置即時資料外洩

透過 Telegram Bot API 令牌進行即時外洩配置。

Kratos 利用 Telegram 的可靠加密基礎設施進行資料外洩。被捕獲的憑證會透過 api.telegram.org 的端點直接傳送到攻擊者控制的機器人。這樣一來,竊取的資料便與合法的加密流量混合,避免被一般的深度封包檢查工具攔截。

不斷演變中的PhaaS威脅生態

Kratos 的崛起讓每個低技能的攻擊者都能輕鬆地展開複雜的多向攻擊行動,這些行動過去都是高度技術熟練的威脅行為者所專有的。這一變化促使市場迅速採用並擴散。2025 年,活躍的 PhaaS 工具包數量翻了一番,估計到 2026 年底,超過 90% 的憑證盜用攻擊將會受到這類工具包的支持。僅在 2026 年的第一季度,KnowBe4 Threat Labs 就識別出多個使用 Kratos 工具包的獨特攻擊行動集群,並針對全球不同的行業進行攻擊。

Kratos 也被設計為具備操作韌性。它的解耦架構和透過 Telegram 進行的分散式數據外洩確保了活動能夠持續進行,並且所收集的數據即使在重大執法行動和安全供應商打擊後仍然保持安全。

妥協指標 (IOCs)

建議組織將以下技術產物整合進入其安全監控與檢測工作流程中:

類型指標上下文
主要領域dwbud[.]vilaribit[.]com目前活動的主要落地頁面。
路徑/PTT/SOft用於收集憑證的特定 URL 路徑。
資料外洩api[.]telegram[.]org用於資料外洩的 Telegram Bot API 端點。
追蹤geoplugin[.]net用於受害者地理定位和審核的外部服務。
來源 IP41.128.0.142在埃及的靜態 IP,用於最初的注入到中繼。
主旨模式收費通知 – [6位數字]ENUKL5799-01-收費通知。[日期]。12/01/2026Docusign 文件 [日期]pdf – [電子郵件]高保真的主旨行模板。

MITRE ATT&CK 配對:

  • T1566 (釣魚攻擊): 透過以Adobe為主題的誘餌取得初始訪問。
  • T1557 (中間人攻擊): 使用中間人技術來繞過傳統的多重身份驗證 (MFA)。
  • T1567 (透過網路服務的資料外洩): 利用Telegram Bot API進行資料外洩。

策略建議:透過人員風險管理建立分層防禦

對抗像 Kratos 這樣的平台,需要從靜態、反應式的防禦轉變為一種多層次、主動的安全策略。Kratos 的多向載荷(例如 QR 碼、EML 附件和 ICS 行事曆檔案)非常有效,因為它們針對的是防線上的人類層面,證明了傳統的周界控制和簡單的憑證檢查是不足夠的。

組織必須迅速行動,以應對這些複雜的威脅,採用人員風險管理(Human Risk Management, HRM)的方法。這個框架直接將即時的威脅情報與用戶意識相連結。核心的技術防禦必須優先考量並實施抗釣魚驗證(phishing-resistant authentication),並從靜態指標轉向行為身份分析(behavioral identity analytics),以在即時中檢測和標記異常的用戶和會話活動。

持續關注人員因素是至關重要的:這樣可以讓使用者從最容易受攻擊的目標,變成組織最堅韌的防線。

即時保護與持續的威脅情報

對抗網路犯罪的工業化需求我們轉變從靜態、反應式的控制方式,轉為動態且專家主導的策略。KnowBe4 Threat Labs透過結合深入的人類智慧與迅速且高效的行動,提供一個統一的防禦體系。這些研究人員仔細調查報告中的電子郵件,識別出活躍的攻擊活動,在威脅升高之前就將其中和,有效保護整個組織。

對於PhishER的客戶來說,這些即時發現轉化為立刻可以採取行動的保護:識別出的妥協指標(Indicators of Compromise, IOCs)會透過PhishER全球黑名單功能即時注入M365 TABL中。

保持聯繫

別等到下次攻擊才來了解最新的戰術。

請在 X 上關注 @Kb4Threatlabs ,以獲得釣魚防護前線的即時更新和持續情報。

文章來源: The Rise of Kratos: How the New Phishing-as-a-Service Kit Industrializes Cybercrime

You cannot copy content of this page