ca88登陆平台

解读|搜狐中招垂钓邮件诳骗的技术和基础设施分析

功夫:2022-05-25 作者:ca88登陆平台

分享到:

    布景概述

    2022年4月中旬,, ,,,客户反馈收到以工资补助有关为钓饵的垂钓邮件。 。。。。邮件附件为doc文档,, ,,,其中蕴含一个二维码(如下图所示)。 。。。。扫描二维码后,, ,,,将跳转到垂钓链接:http://*.kjhdf[.]uno/(如http://546a2cd984338f4ec6091d63c394be61.kjhdf[.]uno/)。 。。。。凭据调查,, ,,,发现攻击者使用的发件邮箱是之前通过垂钓获取到的真实邮箱地址,, ,,,因而极具蛊惑性,, ,,,更易让内部人员中招。 。。。。

    凭据ca88登陆平台威胁谍报中心的持续跟踪,, ,,,揣摩该垂钓活动可能于2021年12月底左右起头。 。。。。自活动起头以来,, ,,,约有6000个域名被用于攻击中。 。。。。目前该垂钓活动还在持续进行中,, ,,,攻击者仍在不休更新升级系统,, ,,,更新基础设施。 。。。。

解读|搜狐中招垂钓邮件诳骗的技术和基础设施分析

解读|搜狐中招垂钓邮件诳骗的技术和基础设施分析

    经过测试,, ,,,发现扫描二维码后进入垂钓页面,, ,,,该页面要求使用手机端打开。 。。。。垂钓页面内容仿冒“工资补助”或“中国***在线认证中心”有关主题。 。。。。如下图所示:

    ●垂钓页面1(伪造成“工资补助”)

解读|搜狐中招垂钓邮件诳骗的技术和基础设施分析

    ●垂钓页面2(伪造成“中国***在线认证中心”)

解读|搜狐中招垂钓邮件诳骗的技术和基础设施分析

    用户凭据诓骗页面疏导进行操作后,, ,,,被疏导至幼我银行卡信息网络页面,, ,,,网络的信息蕴含银行卡、姓名、身份证、手机号、有效期、CVN、信誉额度、卡内余额等。 。。。。如下图所示:

解读|搜狐中招垂钓邮件诳骗的技术和基础设施分析

解读|搜狐中招垂钓邮件诳骗的技术和基础设施分析

    用户填写信息后,, ,,,会进行手机号短信或银行卡验证。 。。。。如下图:

解读|搜狐中招垂钓邮件诳骗的技术和基础设施分析

解读|搜狐中招垂钓邮件诳骗的技术和基础设施分析

    拓展分析

    垂钓页面

    通过浏览器抓包,, ,,,对垂钓页面进行分析,, ,,,如下:

    1.会通过Jump.js判断当前环境是否为移动端,, ,,,不是则会将页面沉定向到pc.html。 。。。。

解读|搜狐中招垂钓邮件诳骗的技术和基础设施分析

    2.天生用户Cookie

解读|搜狐中招垂钓邮件诳骗的技术和基础设施分析

    3.加载配置的后盾接口地址:http://api.khjqwe[.]uno/

解读|搜狐中招垂钓邮件诳骗的技术和基础设施分析

    4.向后盾发送当前页面信息

解读|搜狐中招垂钓邮件诳骗的技术和基础设施分析

    5.获取WebSocket,, ,,,成立回调步骤

解读|搜狐中招垂钓邮件诳骗的技术和基础设施分析

    汗青活动

    凭据已有的信息,, ,,,在网络上检索,, ,,,发此刻3月初,, ,,,就有好多当局媒体颁布过有关诳骗预警。 。。。。

解读|搜狐中招垂钓邮件诳骗的技术和基础设施分析

    在2022年2月,, ,,,某邮件安全厂商也披露过使用该垂钓模板的活动(https://www.cacter.com/news/672)。 。。。。

    攻击者基础设施

    IP1:45.116.214[.]135

    使用本次事务涉及的垂钓页面http://*.kjhdf[.]uno/关联到的解析IP(45.116.214[.]135)进行扩大和筛选,, ,,,进一步发现以下域名存在垂钓风险。 。。。。最早的注册功夫为2022年2月21日。 。。。。、

    IP2:47.57.138[.]120

    通过垂钓页面抓包,, ,,,发现本次垂钓页面要求域名hdesdd[.]uno和khjqwe[.]uno上的资源。 。。。。这两个域名均解析至ip(47.57.138[.]120)。 。。。。因而揣摩47.57.138[.]120为攻击者节造的基础设施,, ,,,以把持垂钓页面数据(如http://api.khjqwe[.]uno//api/getTemplateData.php)和发送手机验证码(如:http://api.khjqwe[.]uno//api/setCodeCount.php?uid=e51f2076-1bb1-ea30-d59b-4bb7f9111a88)等操作。 。。。。

    域名:*.ganb.run

    分析发现域名kjhdf.uno的CNAME为*.ganb.run。 。。。。ganb.run的注册日期为2021年12月21日。 。。。。通过对域名ganb.run进一步扩大,, ,,,发显熹有关ip汗青曾解析到的域名大部门切合该垂钓活动特点。 。。。。例如域名的CNAME为*.ganb.run,, ,,,并且多以*.fun、*.pro、*.uno、*.club、*.ink、*.sbs、*.xyz的大局出现。 。。。。

解读|搜狐中招垂钓邮件诳骗的技术和基础设施分析

    多源扩大到的*.ganb.run有关解析IP:

    ●103.118.40.161(中国香港)

    ●47.57.11.87(中国香港)

    ●156.234.168.76(中国香港)

    ●45.116.214.135(中国香港)

    ●154.23.134.154(中国香港)

    ●27.124.2.112(中国香港)

    ●45.129.11.106(中国香港)

    利用大数据平台查问到近5个月(2021年12月-2021年4月)来,, ,,,约莫有4000多个域CNAME到ganb.run的子域,, ,,,涉及830多个顶级域名。 。。。。其中除近期跟踪到的域名,, ,,,其余均不能接见。 。。。。

    其中,, ,,,有581个(约70%)域名的解析服务器为:ns1.dynadot.com、ns2.dynadot.com。 。。。。其次有80个(约9.6%)域名的解析服务器为ns2.dnsowl.com、ns1.dnsowl.com、ns3.dnsowl.com。 。。。。

    对这些域名的注册功夫进行分析统计,, ,,,其中大部门域名在2022年期间注册,, ,,,占比约为85%。 。。。。

    在CNAME为*gand.run的前提下,, ,,,进一步筛选注册功夫在2022年,, ,,,域名服务器为dnsowl.com和dynadot.com的域名,, ,,,总共有3587条,, ,,,约占87.7%。 。。。。

    2022年4月下旬

    其中,, ,,,与本次某大型互联网公司中招事务特点齐全相符的域名最早注册于2022年4月16日。 。。。。切合上述前提且在该日期之后解析的域名信息如下,, ,,,并且均CNAME到site01.ganb.run。 。。。。这些域名大无数被用于前端的垂钓。 。。。。

    2022年4月上旬

    注册功夫在4月上旬的垂钓域名,, ,,,重要解析至103.118.40.246(中国香港)。 。。。。

解读|搜狐中招垂钓邮件诳骗的技术和基础设施分析

    103.118.40.246同样是中国香港的服务器。 。。。。该ip近期曾被域名3e9f685443d1b75d932bf7ebf2903075[.]npfnwzo.cn解析,, ,,,该域名体式和接见后页面切合本次活动特点。 。。。。npfnwzo.cn存在注册人信息,, ,,,注册功夫为2022年2月19日。 。。。。

解读|搜狐中招垂钓邮件诳骗的技术和基础设施分析

    2022年5月

    103.61.0.110是中国香港的服务器,, ,,,监测到其或许从2022年4月29日起头被解析至与该活动有关的垂钓域名。 。。。。

解读|搜狐中招垂钓邮件诳骗的技术和基础设施分析

    103.79.54.29(中国香港),, ,,,监测到其或许从2022年5月11日起头被解析至与该活动有关的垂钓域名。 。。。。重要CNAME到site001.ganb.run、site01.ganb.run。 。。。。

    后盾API域名

    发现切合本次活动特点的多个后盾api域名(如下表所示)。 。。。。这些域名除api.ganbganb.run表,, ,,,均在3月或4月初注册。 。。。。并且大多解析至位于中国香港的服务器,, ,,,同时CNAME至*.ganb.run。 。。。。而在4月下旬起头,, ,,,并没有监测到api.*.*的域名解析。 。。。。跟踪到的api域名也并不会CNAME至*.ganb.run。 。。。。浚??D芄环聪虼,, ,,,在4月下旬后,, ,,,攻击者对其基础设施的架构进行过调整,, ,,,将前端和后盾进行了拆分,, ,,,以暗藏后盾的api域名。 。。。。

    最近活动

    近期跟踪,, ,,,发现比力活跃的攻击者的基础设施。 。。。。如下:

    总结

    综上信息,, ,,,揣摩该垂钓活动可能于2021年12月底左右起头,, ,,,重要攻击方式为通过诓骗邮件(如假装成“补助”、“ETC”等涉及民生有关主题),, ,,,诱导指标使用手机扫描二维码接见垂钓页面。 。。。。垂钓页面会网络受害者银行卡信息,, ,,,以进行后续的恶意活动,, ,,,如骗取财帛。 。。。。其有关活动在2022年2月底被邮件安全厂商和当局媒体预警披露过。 。。。;;;;;;;;谏鲜龇治,, ,,,梳理的垂钓活动关键节点:

    ●2021年12月21日,, ,,,注册域名ganb.run,, ,,,起头垂钓活动

    ●2022月2月末,, ,,,垂钓活动被邮件安全厂商披露

    ●2022年4月下旬,, ,,,选取新的基础设施架构,, ,,,通过使用类似*.kjhdf[.]uno(如546a2cd984338f4ec6091d63c394be61.kjhdf[.]uno)的DGA域名垂钓,, ,,,*为随机天生的32位字符串。 。。。。并将进行沉要操作(如发送手机验证码、银行卡验证)的api服务器在前端的JS框架配置和挪用,, ,,,以进行暗藏。 。。。。

    目前,, ,,,该垂钓活动还在持续进行,, ,,,攻击者还在不休更新升级系统,, ,,,更新基础设施。 。。。。

    4月上旬关联到的域名npfnwzo.cn存在注册人信息,, ,,,注册功夫为2022年2月19日。 。。。。注册信息如下:

    注册人:高友恒

    注册邮箱:zq50zk@163.com

    通过检索,, ,,,发现该邮件至少关联到200多个域名,, ,,,这些域名根基都以“*(随机字符串).cn”出现。 。。。。

    目前ca88登陆平台威胁谍报中心赋能的全线产品及表部合作同伴,, ,,,蕴含天眼高级威胁检测系统、SOC、态势感知、ICG等,, ,,,已经支持有关攻击的检测和阻断。 。。。。

解读|搜狐中招垂钓邮件诳骗的技术和基础设施分析

    参考链接

    [1]https://www.cacter.com/news/672

解读|搜狐中招垂钓邮件诳骗的技术和基础设施分析

ca88登陆平台 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

ca88登陆平台 在线客服 ca88登陆平台 95015

您对ca88登陆平台的任何疑难可用以下方式通知我们

将您对ca88登陆平台的任何疑难

用以下方式通知我们

【网站地图】【sitemap】