外包呼叫中心成网络犯罪新入口，黑客收买低薪一线客服窃取敏感信息;|你的Linux服务器被攻击进行加密货币挖矿了吗？

外包呼叫中心成网络犯罪新入口，黑客“收买”低薪一线客服窃取敏感信息;

6 月 23 日消息，外包技术支持和呼叫中心原本应该为客户带来便利，但现在越来越多黑客正将其变为实施网络攻击的“帮凶”。

据外媒 TechSpot 20 日报道，最近在美国和英国发生的多起案例显示，攻击者专门钻“人”的漏洞，避开严密的技术防线，成功窃取敏感信息。

其中一起最具破坏性的案件，涉及黑客锁定为 Coinbase 等美国大企业提供客服的海外呼叫中心员工。这些攻击手法五花八门，但共同之处在于：借助权限低、薪资低却掌握大量客户信息的一线客服人员下手。

Coinbase 指出，有黑客以每人 2500 美元（IT之家注：现汇率约合 17957 元人民币）甚至更高的价码收买了 TaskUs 等外包公司的客服人员，借此换取内部协助。Contact Center Compliance 的首席产品官艾萨克・施洛斯告诉《华尔街日报》：“你面对的是低薪阶层，他们很多人处在贫困状态。如果机会合适，往往就会有人选择睁一只眼闭一只眼。”

这场入侵带来了严重后果。多达 97000 名 Coinbase 客户的信息被泄露，公司或将面临高达 4 亿美元的赔偿损失。黑客利用这些信息冒充 Coinbase 员工联系受害者，报出其账户详情，诱使他们将加密货币转入黑客的钱包。

Cryptoforensic Investigators 的调查总监乔什・库珀-达基特说：“几乎每隔两天就有新案子出现。内容都是‘我接到了 Coinbase 的电话，结果钱全没了’但那其实根本不是 Coinbase。”

类似做法也在英国上演。马莎百货、哈罗德百货等零售商也曾遭遇攻击，黑客假冒高层向技术支持人员施压，要求其开放企业网络权限。

呼叫中心的安全问题不仅限于贿赂。在一些案例中，黑客还通过内部人员掌握的软件信息，找出一款存在漏洞的浏览器插件并趁机植入恶意代码，从而批量收集客户资料。

全球化的外包模式也令执法变得更加困难。在某些国家，涉事员工几乎不承担法律责任。Coinbase 首席安全官菲利普・马丁表示：“我们发现这些地区的惩处手段非常有限。即便 Coinbase 员工被辞退，他们仍能很快找到下一份工作。”

报道称，黑客始终抓住了最脆弱的一环：人与人的互动。ReliaQuest 的高级副总裁迈克尔・麦克弗森指出：“人与人之间的沟通，仍然是整套防线中最容易被突破的部分。”

你的Linux服务器被攻击进行加密货币挖矿了吗？

网络安全研究人员发现，针对Linux服务器进行加密货币挖矿和凭证窃取的复杂恶意软件Prometei僵尸网络近期活动显著增加。自2025年3月以来观察到的这波最新攻击活动，展现了加密货币挖矿恶意软件的演变趋势及其对全球企业基础设施构成的持续威胁。

僵尸网络双重威胁

Prometei僵尸网络是一个同时包含Linux和Windows变种的双重威胁恶意软件家族，主要目的是劫持计算资源进行门罗币(Monero)挖矿，同时窃取被入侵系统的凭证。Palo Alto Networks分析师在2025年3月发现了这波新攻击，指出相比之前版本，该恶意软件在隐蔽能力和操作复杂性方面有显著提升。

该僵尸网络采用模块化架构运行，使攻击者能够远程控制受感染系统、部署额外有效载荷并维持对被入侵网络的持久访问。最初于2020年7月发现的Windows变种率先出现，Linux版本则在2020年12月出现并持续发展至今。

多向量攻击方式

该恶意软件采用多种攻击向量，包括暴力破解凭证攻击、利用与WannaCry勒索软件相关的著名EternalBlue漏洞，以及操纵服务器消息块(SMB)协议漏洞实现在目标网络内的横向移动。这种多管齐下的方式使Prometei在获得组织系统的初始访问权限后能够迅速扩大其影响范围。

研究人员发现，Prometei行动背后的经济动机十分明显，没有证据表明该僵尸网络与国家行为体有关联。相反，这些活动表现出典型的以盈利为目的的网络犯罪企业特征，通过加密货币挖矿将被入侵基础设施变现，同时伺机收集有价值的凭证用于潜在的二次利用或在地下市场出售。

高级规避技术

当前版本采用了先进的规避技术，包括用于增强命令与控制基础设施弹性的域名生成算法(DGA)，以及使恶意软件能够动态适应安全防御的自我更新能力。这些改进使传统安全解决方案的检测和缓解工作变得更加困难。

技术感染机制与传播

最新Prometei变种采用复杂的传播和解包机制，极大增加了分析难度。恶意软件通过向特定服务器hxxp[://]103.41.204[.]104/k.php?a=x86_64发送HTTP GET请求进行传播，并通过参数hxxp[://]103.41.204[.]104/k.php?a=x86_64,实现动态ParentID分配。

尽管文件名带有误导性的.php扩展名，但有效载荷实际上是专门针对Linux系统的64位ELF可执行文件，这是一种故意的混淆策略。恶意软件使用UPX(Ultimate Packer for eXecutables)压缩来减小文件大小并增加静态分析难度。但该实现包含一个关键修改，会阻止标准UPX解压工具正常工作。

开发者向打包的可执行文件附加了一个自定义配置JSON尾部，破坏了UPX工具定位必要元数据(包括PackHeader和overlay_offset尾部)的能力，这些元数据是成功解压所必需的。该配置尾部包含不同恶意软件版本间各异的必要操作参数。虽然版本二仅支持config、id和enckey等基本字段，但较新的版本三和四增加了ParentId、ParentHostname、ParentIp和ip等参数，这些增强功能实现了更复杂的命令与控制通信以及分层僵尸网络管理能力。

成功部署后，Prometei会通过从/proc/cpuinfo收集处理器信息、通过dmidecode --type baseboard命令获取主板详情、从/etc/os-release或/etc/redhat-release获取操作系统规格、系统运行时间数据以及通过uname -a命令获取内核信息来进行全面的系统侦察。这种情报收集使恶意软件能够根据可用硬件资源优化其挖矿操作，同时为攻击者提供详细的基础设施映射以进行潜在的横向移动活动。