概述
关于该系列钓鱼基础设施分析报告可参考以下链接,本报告不再赘述。
https://mp.weixin.qq.com/s/qGbwJJ5oGn4tdnFadq0c8g。
事件概况
最终目的 | 窃取银行卡资金 |
背后组织 | 国内黑产 |
影响范围 | 以个人账户为目标,通常会利用发送企业邮件广撒网,影响范围较大 |
重点影响行业 | 科技、金融、律法、政府、事业单位等中大型企业 |
活动时间 | 2022至今 |
近期新增特征
-
钓鱼邮件正文附带密码,必须解密才能查看带有二维码的附件文档,以此规避邮件检测系统和沙箱检测系统
-
将带有二维码的文档托管在公共服务上,如(mailh.qiye.163.com)
-
开始使用黑产工具如浏览器信息窃取工具来获取信用卡等信息
利用补贴主题的钓鱼活动从疫情后一直处于活跃状态,2022年,我们监测到该钓黑产组织开始使用二维码来隐蔽传播钓鱼站点。在长期跟踪该系列钓鱼活动中,可以很明显观察到该黑产组织在不断加强和完善其后台基础设施。
不过无论如何变化,该系列活动都能总结为三个词语:邮件、补贴、二维码。拿二维码来说,该系列活动最开始时会直接将二维码贴在邮件中,后来则变成将二维码放到邮件附件文档(word 或 xlsx)中诱导受害者打开附件文档再扫码,再到最近出现的将二维码放在加密的邮件附件文档中。这种演变说明攻击者本身也在想办法规避和对抗安全设备的检测。只是不管是何种方式,其最终目的都是通过诱导受害者扫码访问钓鱼站点,然后将银行卡信用卡账户密码填进去。从2024年7月开始,该黑产组织开始使用其他工具,如传播浏览器信息收集工具等等,更“主动”地去获取受害者的敏感信息,而不只是“被动”等待受害者自己填写。
以下是最近的钓鱼邮件活动案例分享
示例1 使用密码保护隐蔽传播钓鱼二维码
钓鱼邮件:
附件名:综合津贴官方预约申领通知.xlsx
MD5:b98182c84666734e4772f928ac0c3484
扫码后的内容:http://afeae.oooefuiqsl.]cn/
示例2 使用黑客工具收集信用卡等信息
新的攻击手法:伪造相关行业工作单位,直接通过钓鱼邮件传播信息窃取工具。如下所示,界面显示政府站点域名而将实际链接指向到 https://03e9e6638.whqwlj.com.]cn/,访问后会自动下载恶意文件“起诉材料和借款证据.rar”(MD5:e470f3280e51ad2e15b889e8baf6cf17)。
该压缩文件下包含一个恶意文件“起诉材料和借款证据.docx.exe”。经奇安信沙箱检测为恶意。
该 exe 在 HackBrowserData 原版基础上,增加了 uploadToServer 功能,将数据上传到 http://qq.3grbw6b15jrsii.]top:8080/upload。
HackBrowserData(https://github.com/moonD4rk/HackBrowserData)是一款用于从浏览器中解密和导出浏览器数据(密码、历史记录、cookie、书签、信用卡、下载历史记录、localStorage 和扩展程序)的命令行工具。其支持市场上最流行的浏览器,可在 Windows、macOS 和 Linux 上运行。
示例3 使用正常服务网站托管二维码文档
示例2中的恶意工具下载域名 whqwlj.com.]cn 解析 ip 为 143.92.52.148,通过证书、DNS 等信息关联到的域名如附录 IOC 所示,其中某些域名(如nmeyco.com.cn)会被直接重定向到以下链接:
https://mailh.qiye.163.]com/static/sirius-web/share_anonymous/#type=FILE&shareIdentity=205351bb8d8e45f498ddb84dffb09cc5&fileId=19000016425047
而该文档的分享时间为8月13日上午8:49。这说明该黑产组织开始使用正常的站点服务功能放置二维码文档,然后通过钓鱼邮件中的多次重定向让受害者去访问。同时,这样也方便其对二维码文档进行管理,如更新或者删除。
总结
防护建议
若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
附录
IP:
143.92.52.134
143.92.52.138
143.92.52.148
域名:
shebaoju.sh.cn
021-12333.sh.cn
263url.com
fw88gw3.cn
u8jnidj.cn
358e5o8.cn
hbfdzmnr.bond
svyqoffy.bond
ibksvtxd.bond
qiaoduoduo.cyou
yxvtjotf.bond
iahrgnpi.bond
jszhzzng.bond
slojrxrd.bond
iokxswiz.bond
ferjllkt.bond
gqnnfmhf.bond
vvcsmm.com.cn
fcvqqg.com.cn
dodeiuiwaa.bond
dodeiuiwa.bond
whqwlj.com.cn
nmeyco.com.cn
qeuayr.com.cn
nkvsiw.com.cn
efayev.com.cn
gvqfji.com.cn
nfmuyw.com.cn
wseesg.com.cn
qq.3grbw6b15jrsii.top
qq.0d8p6p15mmctni.top
URL:
http://112.213.116.]171:8080/upload
http://qq.3grbw6b15jrsii.]top:8080/upload
http://qq.0d8p6p15mmctni.]top:8080/upload
注册人:
qianduoduo
邮箱:
证书:
d48d9240ed4487cd0376f36a7fe8d7c1436c9ffa
文件名称 | 文件类型 | 活跃时间 |
2024年针对个人职业补贴通知.pdf | 2024/8/5 10:17 | |
财政补贴7.22.docx | Word | 2024/7/23 14:50 |
2024综合补贴文件申领t通知!.docx | encrypted | 2024/7/17 12:07 |
2024年第一季度个人劳动补贴申领通知2024129.docx | encrypted | 2024/7/9 10:11 |
2024财政补贴综合文件!.docx | encrypted | 2024/7/4 9:25 |
关于公司高温补贴发放确认的通知.eml | 2024/6/24 16:39 | |
综合补贴申领通知.docx | encrypted | 2024/6/5 11:33 |
财政补贴.docx | Word | 2024/5/30 16:32 |
2024年综合补贴申领通知【电脑版】.xlsx | Excel | 2024/5/29 17:12 |
个税工薪综合补贴!.docx | encrypted | 2024/5/22 8:42 |
财政补贴.docx | Word | 2024/5/21 12:27 |
2024个税工薪综合补贴!.docx | encrypted | 2024/5/13 15:17 |
综合补贴.docx | Word | 2024/4/25 8:19 |
关于2024年度综合补贴通知!.docx | encrypted | 2024/3/27 10:13 |
关于2024年度综合补贴通知.eml | 2024/3/26 11:45 | |
综合补贴.docx | Word | 2024/3/26 9:17 |
2024年财政劳动补贴.doc | Microsoft Office Word (97-2003) Document | 2024/2/21 9:25 |
劳动补贴申领通知.docx | encrypted | 2024/2/2 22:06 |
公司补贴通知!.docx | encrypted | 2024/1/31 11:34 |
2024年第一季度个人劳动补贴申领通知2024129.docx | encrypted | 2024/1/29 15:07 |
*企业员工春节返乡补贴申领通知.docx | Word | 2024/1/25 13:51 |
关于2024年第一季度个人劳动补贴申领通知.docx | Word | 2024/1/12 8:57 |
部分历史活动ip
45.207.52.223
206.238.189.70
206.238.189.128
194.41.59.66
156.245.25.18
156.245.25.152
154.39.239.183
点击阅读原文至ALPHA 7.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):补贴钓鱼花样多,请看好个人”钱包”