【安全资讯】攻击者滥用Atlassian Jira云服务发起针对性垃圾邮件活动，瞄准政府与企业实体

概要：

近期，网络安全研究人员发现一起复杂的垃圾邮件活动，攻击者滥用Atlassian Jira Cloud的受信任域名和良好信誉，向全球范围内的政府机构和企业实体发送大量伪装成合法通知的欺诈邮件。该活动不仅利用了SaaS平台固有的信任机制以绕过传统邮件安全防护，还通过高度自动化的手段和精准的定向投递，凸显了针对协作工具信任链的新型攻击风险。

主要内容：

此次攻击活动始于2025年12月底，持续至2026年1月下旬。攻击者首先通过创建大量Atlassian试用账户，快速生成临时的Jira Cloud实例。这些实例托管在合法的Atlassian云基础设施上，无需进行域名所有权验证，从而降低了攻击门槛。攻击的核心在于滥用Jira Automation功能，通过集成的邮件发送平台大规模投递精心设计的垃圾邮件。

邮件的发送者地址显示为合法的atlassian.net域名，并附带了有效的SPF和DKIM认证签名，这使得邮件能够轻易绕过基于域名信誉和基础认证检查的传统邮件安全网关。攻击者并非进行无差别群发，而是根据目标受众的语言背景（包括英语、法语、德语、意大利语、葡萄牙语和俄语）定制了高度本地化的邮件主题，甚至专门针对旅居海外的高技能俄罗斯专业人士，显示出明确的定向意图。

邮件中嵌入的链接通过名为Keitaro的流量分发系统进行重定向，最终将受害者引导至虚假的投资骗局或在线赌博网站。这表明攻击者的主要动机是经济利益。受影响最严重的是那些本身已在使用Atlassian Jira、邮件流量大且高度依赖协作工具的组织，尤其是政府和企业部门，因为它们更可能信任并常规处理来自Jira的系统通知。