网络犯罪分子利用 Google Cloud 邮件功能进行多阶段钓鱼攻击

网络安全研究人员披露了一场钓鱼活动的细节，攻击者通过滥用 Google Cloud 的 Application Integration 服务伪装成合法的 Google 生成的消息来发送电子邮件。

Check Point 表示，此活动利用 Google Cloud 基础设施的可信度，以合法的电子邮件地址（“noreply-application-integration@google[.]com”）发送邮件，从而绕过传统的邮件安全过滤器，并更有可能进入用户收件箱。

这些邮件模仿企业日常通知，如语音信箱提醒以及文件访问或权限请求，使收件人觉得正常且可信。

观察期间，攻击者在 2025 年 12 月的 14 天内共发送了 9,394 封钓鱼邮件，目标约 3,200 家客户，受影响的组织遍布美国、亚太、欧洲、加拿大和拉美地区。

该活动核心是滥用 Application Integration 的 “发送邮件” 任务，该任务允许用户从集成中发送自定义邮件通知。Google 在其支持文档中指出，此任务最多只能添加 30 个收件人。

这些邮件可以配置为发送到任意电子邮件地址，表明威胁行为者能够滥用合法的自动化功能，以 Google 所拥有的域名发送邮件，有效绕过 DMARC 和 SPF 检查。

为进一步提升可信度，邮件严格遵循 Google 通知的样式和结构，包括熟悉的格式和语言。诱饵通常提及语音信箱信息或声称收件人获得了对共享文件或文档的访问权限，例如访问名为 “Q4” 的文件，促使收件人点击嵌入链接并立即采取行动。

攻击链是一个多阶段重定向流程，受害者点击存储于 storage.cloud.google[.]com（另一项受信任的 Google Cloud 服务）上的链接后启动。此举旨在降低用户怀疑，增加合法外观。

该链接随后重定向至托管在 googleusercontent[.]com 的内容，向用户展示伪造的 CAPTCHA 或基于图片的验证，阻止自动化扫描器和安全工具检查攻击基础设施，同时允许真实用户通过。

验证阶段完成后，用户被引导至伪造的微软登录页面，该页面托管在非微软域名上，最终窃取受害者输入的任何凭证。

针对上述发现，Google 已阻止滥用 Google Cloud Application Integration 邮件通知功能的钓鱼活动，并表示将采取更多措施防止进一步滥用。

Check Point 的分析显示，该活动主要针对制造业、技术、金融、专业服务和零售行业，尽管媒体、教育、医疗、能源、政府、旅行和交通等其他行业也被锁定。

这些行业普遍依赖自动化通知、共享文档和基于权限的工作流，使 Google 品牌的警报尤为可信。此活动凸显了攻击者如何滥用合法的云自动化和工作流功能，以规模化方式分发钓鱼邮件，而无需传统的伪造手段。