今日,微博认证为“搜狐公司董事局主席兼CEO张朝阳”的“搜狐charles”用户发布信息称,因搜狐员工内部邮箱被盗,进而受到网络钓鱼攻击,并表示目前技术部门及时介入,损失较小。
综合当前信息进行溯源追踪,经微步在线情报局确认,这是Ganb黑产组织(微步在线内部命名)发起的又一次“网络钓鱼”攻击。微步在线情报局早在去年就捕获并持续追踪一批灰黑产组织自2021年末至今以医疗保障金领取,公积金补贴等名义,通过大量群发钓鱼邮件和短信进行钓鱼诈骗。在2022年3月份左右,Ganb黑产组织攻击愈发猖獗,对金融行业展开大规模钓鱼攻击,微步情报局已及时对其活动进行通报。微步情报局对其具体分析如下:
-
该黑产组织针对多个行业生成多种对应话术模板,通过邮件和短信大量群发进行广撒网钓鱼,使用的钓鱼话术以“医疗保障金领取”、”工资补贴”为主,其最终目的为盗取受害者的银行卡、手机号、银行卡密码、身份证号等信息并对其进行诈骗。
-
经微步情报局关联发现,该黑产组织最早于2021年12月开始活跃,日渐猖獗。受害者分布广泛。
-
该黑产组织关系模式属于”一人开发,分销多人“,即上游系统供应商负责开发出相应管理平台框架,开发完成后对其下游销售系统账号的使用权限,涉及多人。
-
使用的资产具有较强的反侦察意识,相关域名、管理后台站点均隐藏信息,并使用全流量 DNS 解析服务进行分发流量,最终导向黑客组织拥有的香港亚马逊服务器。
-
该黑产组织使用 DGA 技术生成大量域名做跳板,保证其网站存活性同时具有迷惑作用,同时使用若干域名做调度,最终指向该组织的真实资产。
-
该黑产组织使用的资产及跳板域名无明显特征,资产选用没有明显规律且资产变化部署极为迅速,便于在域名遭到封禁时快速转换资产绑定域名,保证其相关资产持续可访问。
2.1 邮件投递
2.2 实施诈骗
3.1 资产特点
(1)收集确认到大量的该黑产组织后相关资产及关联资产后,发现以下特征:钓鱼邮件中二维码扫描后解析出的域名一般为自动生成的无规律域名(俗称DGA域名),生成算法未知,但从注册域名长度一般为4-6位的随机数字或者字母组合,配合 run、xyz、pro、nuo 等免费顶级域名组合使用,如下图所示:
(2)为管理生成的大量 DGA 域名并保证域名解析到指定的诈骗界面,该组织使用配置 cname 指向特定调度域名来对 DGA 域名进行分类调度。DGA 域名被访问后,首先会解析到配置 cname 指向的某一 site*.ganb.run 域名,再由 site*.ganb.run 域名指向对应的解析 IP,开始业务通信。原理如下图所示:
i.site01.ganb.run
ii.site02.ganb.run
iii.site03.ganb.run
iv.site04.ganb.run
v.site05.ganb.run
vi.site06.ganb.run
vii.site07.ganb.run
b)实际的域名访问方式,DNS 解析如下图所示,钓鱼域名 cname 到 site*.ganb.run,随后由 site*.ganb.run 调度解析到实际解析 IP。
viii.103.123.161.205
ix.167.172.61.83
x.91.89.236.15
xi.163.21.236.11
xii.47.57.3.168
xiii.45.129.11.106
xiv.13.71.136.247
xv.119.28.66.157
xvi. 27.124.17.20
xvii.103.158.190.187
xviii. 47.242.105.202
xix.103.118.40.161
3.2 溯源结果
(2)通过使用账号密码登陆对应后台,在后台界面发现大量用户信息,粗略统计,总体受害者规模已达数千人,且后台提交受害者数据仍在不断增加。
1.ETC模板(已有在野利用)
2.新-ETC模板(已有在野利用)
3.社保模板(已有在野利用)
4.医保模板(已有在野利用)
5.某团模板
6.工商模板
7.某政模板
8.某东-某政模板
9.某鱼模板(已有在野利用)
(3)通过其总控后台的域名管理发现,该黑产组织目前手中掌握有大量的 DGA 跳板域名,共计831个,用以快速变换域名绑定部署,对抗域名封禁。
公众号内回复“ganb”,可获取附录IOC文档。
关于微步在线研究响应中心
内容转载与引用
原文始发于微信公众号(微步在线研究响应中心):诈骗知名门户的黑产团伙,被我们锁定