背景概述
2022年4月中旬,客戶反饋收到以工資補貼相關為誘餌的釣魚郵件。郵件附件為doc文檔,其中包含一個二維碼(如下圖所示)。掃描二維碼後,將跳轉到釣魚鏈接:http://*. kjhdf[.]uno/(如http://546a2cd984338f4ec6091d63c394be61.kjhdf[.]uno/)。根據調查,發現攻擊者使用的發件郵箱是之前通過釣魚獲取到的真實郵箱地址,因此極具迷惑性,更易讓內部人員中招。
根據奇安信威脅情報中心的持續跟蹤,推測該釣魚活動可能於2021年12月底左右開始。自活動開始以來,約有6000個域名被用於攻擊中。目前該釣魚活動還在持續進行中,攻擊者仍在不斷更新升級系統,更新基礎設施。
● 釣魚頁面2(偽造成「中國***在線認證中心」 )
用戶根據欺詐頁面引導進行操作後,被引導至個人銀行卡信息收集頁面,收集的信息包括銀行卡、姓名、身份證、手機號、有效期、CVN、信用額度、卡內餘額等。如下圖所示:
用戶填寫信息後,會進行手機號短信或銀行卡驗證。如下圖:
拓展分析
釣魚頁面
通過瀏覽器抓包,對釣魚頁面進行分析,如下:
1.會通過Jump.js判斷當前環境是否為移動端,不是則會將頁面重定向到pc.html。
2.生成用戶Cookie
3.加載配置的後台接口地址:http://api.khjqwe[.]uno/
4.向後台發送當前頁面信息
5. 獲取WebSocket,建立回調方法
歷史活動
根據已有的信息,在網絡上檢索,發現在3月初,就有很多政府媒體發布過相關詐騙預警。
在2022年2月,某郵件安全廠商也披露過使用該釣魚模板的活動(https://www.cacter.com/news/672)。
攻擊者基礎設施
IP1:45.116.214[.]135
使用本次事件涉及的釣魚頁面http://*. kjhdf[.]uno/關聯到的解析IP(45.116.214[.]135)進行擴展和篩選,進一步發現以下域名存在釣魚風險。最早的註冊時間為2022年2月21日。、
Domain
註冊時間
最近看到時間
hdesddd.uno
2022-04-13
2022-04-16
vbgwqe.uno
2022-04-13
2022-04-16
kjhdf.uno
2022-04-17
2022-04-18
prdfd.uno
2022-02-21
2022-03-03
xzcvsgqw.uno
2022-04-16
2022-04-16
jhdwqd.uno
2022-04-13
2022-04-16
IP2:47.57.138[.]120
通過釣魚頁面抓包,發現本次釣魚頁面請求域名hdesdd[.]uno和khjqwe[.]uno上的資源。這兩個域名均解析至ip(47.57.138[.]120)。因此推測47.57.138[.]120為攻擊者控制的基礎設施,以操縱釣魚頁面數據(如http://api.khjqwe[.]uno//api/getTemplateData.php)和發送手機驗證碼(如:http://api.khjqwe[.]uno//api/setCodeCount.php?uid=e51f2076-1bb1-ea30-d59b-4bb7f9111a88)等操作。
Domain
註冊時間
最近看到時間
hdesdd.uno
2022-04-13
2022-04-16
khjqwe.uno
2022-04-15
2022-04-17
域名:*.ganb.run
分析發現域名kjhdf.uno的CNAME為*.ganb.run。ganb.run的註冊日期為2021年12月21日。通過對域名ganb.run進一步擴展,發現其相關ip歷史曾解析到的域名大部分符合該釣魚活動特徵。例如域名的CNAME為*.ganb.run,並且多以*.fun、*.pro、*.uno、*.club、*.ink、*.sbs、*.xyz的形式出現。
多源擴展到的*.ganb.run相關解析IP:
● 103.118.40.161(中國香港)
●47.57.11.87(中國香港)
●156.234.168.76(中國香港)
●45.116.214.135(中國香港)
●154.23.134.154(中國香港)
●27.124.2.112(中國香港)
利用大數據平台查詢到近5個月(2021年12月-2021年4月)來,大約有4000多個域CNAME到ganb.run的子域,涉及830多個頂級域名。其中除近期跟蹤到的域名,其餘均不能訪問。
DOMAIN
CANME的域名個數
site.ganb.run
1
site01.ganb.run
1000
site02.ganb.run
140
site03.ganb.run
40
site04.ganb.run
63
site05.ganb.run
1000
site06.ganb.run
1000
site07.ganb.run
384
site08.ganb.run
448
site09.ganb.run
14
site603.ganb.run
1
總計
4091
其中,有581個(約70%)域名的解析服務器為:ns1.dynadot.com、ns2.dynadot.com。其次有80個(約9.6%)域名的解析服務器為ns2.dnsowl.com、ns1.dnsowl.com、ns3.dnsowl.com。
域名服務器
解析TPD個數
約占比
ns1.dynadot.com
ns2.dynadot.com
581
0.693317422
ns2.dnsowl.com
ns1.dnsowl.com
ns3.dnsowl.com
80
0.095465394
未註冊
82
0.097852029
其他
95
0.113365155
對這些域名的註冊時間進行分析統計,其中大部分域名在2022年期間註冊,占比約為85%。
註冊時間
域名個數
約占比
2021-12-21後
709
0.846062053
2021-01-01至12-21
16
0.019093079
2020年
2
0.002386635
2019年
10
0.011933174
2015年、2016年
19
0.022673031
在CNAME為*gand.run的條件下,進一步篩選註冊時間在2022年,域名服務器為dnsowl.com和dynadot.com的域名,總共有3587條,約占87.7%。
2022年4月下旬
其中,與本次某大型互聯網公司中招事件特徵完全相符的域名最早註冊於2022年4月16日。符合上述條件且在該日期之後解析的域名信息如下,並且均CNAME到site01.ganb.run。這些域名大多數被用於前端的釣魚。
域名
解析ip
註冊時間
hkjkwn.uno
45.116.214.135(中國香港)
2022/4/18 22:02
xmnzxc.uno
45.116.214.135(中國香港)
2022/4/18 22:02
qoiwhas.uno
45.116.214.135(中國香港)
2022/4/18 22:02
mgerrewd.uno
45.116.214.135(中國香港)
2022/4/18 22:02
uoirwqa.uno
45.116.214.135(中國香港)
2022/4/17 21:09
cvjhwqa.uno
45.116.214.135(中國香港)
2022/4/17 21:09
kjhdf.uno
45.116.214.135(中國香港)
2022/4/17 11:03
wqaszx.uno
45.116.214.135(中國香港)
2022/4/17 11:03
vckbhre.uno
45.116.214.135(中國香港)
2022/4/16 0:52
2022年4月上旬
註冊時間在4月上旬的釣魚域名,主要解析至103.118.40.246(中國香港)。
103.118.40.246同樣是中國香港的服務器。該ip近期曾被域名3e9f685443d1b75d932bf7ebf2903075[.]npfnwzo.cn解析,該域名格式和訪問後頁面符合本次活動特徵。npfnwzo.cn存在註冊人信息,註冊時間為2022年2月19日。
2022年5月
103.61.0.110是中國香港的服務器,監測到其大概從2022年4月29日開始被解析至與該活動相關的釣魚域名。
103.79.54.29(中國香港),監測到其大概從2022年5月11日開始被解析至與該活動相關的釣魚域名。主要CNAME到site001.ganb.run、site01.ganb.run。
後台API域名
發現符合本次活動特徵的多個後台api域名(如下表所示)。這些域名除api.ganbganb.run外,均在3月或4月初註冊。並且大多解析至位於中國香港的服務器,同時CNAME至*.ganb.run。而在4月下旬開始,並沒有監測到api.*.*的域名解析。跟蹤到的api域名也並不會CNAME至*.ganb.run。可以反向推測,在4月下旬後,攻擊者對其基礎設施的架構進行過調整,將前端和後台進行了拆分,以隱藏後台的api域名。
域名
解析ip
註冊時間
api.ganbganb.run
154.38.100.145(中國香港)
2022-02-10 04:16:27
api.klhjsw.fun
47.57.3.168(中國香港)
47.57.11.87(中國香港)
2022-03-04 14:01:53
api.kgmwa.pro
45.129.11.106(中國香港)
2022-03-06 23:44:22
api.qkwj.pro
2022-03-09 12:54:56
api.peydhgw.uno
103.158.190.187(日本)
2022-03-11 02:43:45
api.yerws.uno
47.57.11.87(中國香港)、
103.118.40.161(中國香港)
2022-03-26 23:26:42
api.rtyj.fun
2022-04-06 21:21:23
最近活動
近期跟蹤,發現比較活躍的攻擊者的基礎設施。如下:
開始時間
前端
Websocket
後端
2022-04-17
kjhdf.uno等
(45.116.214.135)
ws://online.hdesdd.uno:2001
(47.57.138.120)
http://api.khjqwe.uno/(47.57.138.120)
2022-04-23
nfhfwew.uno
gjkhas.uno
uyhyjds.uno等
(45.116.214.135)
ws://online.ituerew.uno:2001
(47.75.113.220)
http://api.keueqas.uno(47.75.97.38)
2022-04-30
nbgtwdf.xyz等
(103.61.0.110)
2022-05-11
bbvnsz.xyz等
(103.79.54.29)
http://api.fgdas.xyz(119.28.14.166)
總結
綜上信息,推測該釣魚活動可能於2021年12月底左右開始,主要攻擊方式為通過欺詐郵件(如偽裝成「補貼」、「ETC」等涉及民生相關主題),誘導目標使用手機掃描二維碼訪問釣魚頁面。釣魚頁面會收集受害者銀行卡信息,以進行後續的惡意活動,如騙取錢財。其相關活動在2022年2月底被郵件安全廠商和政府媒體預警披露過。基於上述分析,梳理的釣魚活動關鍵節點:
●2021年12月21日,註冊域名ganb.run,開始釣魚活動
●2022月2月末,釣魚活動被郵件安全廠商披露
● 2022年4月下旬,採用新的基礎設施架構,通過使用類似*. kjhdf[.]uno(如546a2cd984338f4ec6091d63c394be61.kjhdf[.]uno)的DGA域名釣魚,*為隨機生成的32位字符串。並將進行重要操作(如發送手機驗證碼、銀行卡驗證)的api服務器在前端的JS框架配置和調用,以進行隱藏。
目前,該釣魚活動還在持續進行,攻擊者還在不斷更新升級系統,更新基礎設施。
4月上旬關聯到的域名npfnwzo.cn存在註冊人信息,註冊時間為2022年2月19日。註冊信息如下:
註冊人:高友恆
註冊郵箱:zq50zk@163.com
通過檢索,發現該郵件至少關聯到200多個域名,這些域名基本都以「*(隨機字符串).cn」出現。
目前奇安信威脅情報中心賦能的全線產品及外部合作夥伴,包括天眼高級威脅檢測系統、SOC、態勢感知、ICG等,已經支持相關攻擊的檢測和阻斷。
參考鏈接
[1] https://www.cacter.com/news/672
留言列表