close

一、基本情況

昨天連續收到兩封欺騙郵件,分別是凌晨和下午,郵件的主題、內容都是一樣的,主要 是發送人的信息不同,兩份郵件截圖如下所示:

第一封:

第二封:

郵件內容中,欺騙用戶連接的URL地址也是一樣的,都是:http://xiangwangshenghuo.cn/page.php。

因此,可認定為同一個組織/個人實施的郵件欺騙攻擊。唉,怎麼一不小心就成為攻擊目標了,還一天兩封,暈。今天在outlook直接點擊訪問,發現360已經會進行攔阻,顯示如下:

直接複製url:http://xiangwangshenghuo.cn/page.php進行瀏覽器訪問,登陸界面如下:

欺騙用戶填寫郵箱的賬戶和密碼。

如果直接訪問主頁http://xiangwangshenghuo.cn,發現顯示的也是郵件登陸系統,界面如下:

隨便輸入虛擬的郵箱賬戶和密碼,顯示「密碼錯誤」,如下。

網站的結構大概如下:

很明顯,這就是赤裸裸的郵件釣魚攻擊,用於收集被攻擊對象的郵箱賬戶和密碼。

通過分析郵件頭屬性,發現攻擊者沒有對郵件頭進行信息偽造,郵件實際發送者就是outlook郵箱中顯示的發送者,分別是<market@jinglun.com.cn>和<wangren@micropoint.com.cn>,這兩個域名是國內正常的兩家公司,說明攻擊者通過其他手段獲取了這兩個郵箱的控制權限,尤其是micropoint.com.cn這家公司,還是做網絡安全業務的。

第1封郵件頭如下:

從上圖可知,該郵件是通過主機名為PC293的主機發送的,網關地址為:10.10.10.1。

第2封郵件頭如下:

從上面的郵件頭可以看出,攻擊者通過名為PC293的主機發送郵件,但是本次外部IP地址卻明顯顯示在郵件頭裡面,該IP地址為:58.243.143.201,根據IP地址查詢為安徽黃山的聯通用戶,因此我們可以猜測上面的10.10.10.1是否是聯通內部的網關地址?

再來看看欺騙域名的情況,xiangwangshenghuo.cn應該是漢字「嚮往生活」的拼音,不知道攻擊者是希望過上怎樣的生活,呵呵。

通過ping解析,域名指向的IP是156.234.27.228,位置在中國香港。

我們再來查看156.234.27.228上綁定的域名,查詢結果如下,一看都是近幾天才綁定的域名,汗,沒想到郵箱竟直接成為首輪攻擊對象。

通過直接訪問 ousiman568.com、hwobuswangzhe.cn域名,發現登陸界面和xiangwangshenghuo是一樣的,如下圖:

因此,說明這三個域名都是攻擊者註冊並綁定的,可能用於不同的攻擊對象。

再分別對三個域名進行註冊信息查詢,結果分別如下:

從上面可判斷,上述三個域名都是通過浙江貳貳網絡有限公司進行申請註冊的,通過貳貳網絡查詢域名,結果如下:

綜上,我們可以初步判斷攻擊者的基本信息,包含域名註冊的姓名、QQ號和所在的大概地理位置。

二、小結

該釣魚攻擊正在持續實施中,攻擊者還在不停的發送釣魚郵件,並且其用於釣魚的網站域名也不停變化,截至7月7日,發現的IP有3個(香港),綁定的域名信息如下:

1、IP1:156.234.27.226

域名綁定歷史:

2022-07-06-----2022-07-06 hbtmfs.cn2022-07-06-----2022-07-06 mquest.cn2022-07-04-----2022-07-04 thequest.cn2022-06-30-----2022-06-30 foreseabank.cn2022-06-30-----2022-06-30 graydigital.cn2022-06-27-----2022-06-27 qflwpq.cn2022-06-22-----2022-06-24 passportoss.cn2022-06-15-----2022-06-18 xuyuying.cn2022-06-09-----2022-06-13 xuxiaoying.cn2022-06-08-----2022-06-09 www.passportoss.cn

2、IP2:156.234.27.228域名綁定歷史:

2022-07-05-----2022-07-06 cafine.cn2022-06-28-----2022-07-01 ceciliaderafael.cn2022-06-29-----2022-06-29 etherrock.cn2022-06-22-----2022-06-27 laliceshiji.cn2022-06-24-----2022-06-24 opencti.cn2022-06-20-----2022-06-21 ihappywind.cn2022-06-21-----2022-06-21 uwurl.cn2022-06-09-----2022-06-16 minyanxi.cn2022-06-01-----2022-06-12 wobuswangzhe.cn2022-05-29-----2022-06-11 ousiman568.com2022-05-30-----2022-06-11 xiangwangshenghuo.cn2022-05-31-----2022-05-31www.xiangwangshenghuo.cn

3、IP3:103.223.122.172域名綁定歷史:

2022-04-26-----2022-06-09 mail.uepojlsd.cn2022-05-07-----2022-06-09 dashenowqq.cn2022-05-31-----2022-05-31 www.passportoss.cn2022-05-11-----2022-05-12 mail.kfrihzlaqq.cn2022-05-12-----2022-05-12 uepojlsd.cn2022-05-06-----2022-05-08 mail.geelyemail.cn2022-04-26-----2022-04-26 jingkezhongxin.cn2017-12-03-----2017-12-03 www.200301.com2017-11-25-----2017-11-25 1399p.cn2017-10-06-----2017-10-07 10pk.ws

4、同時,攻擊者對最近對部分CN域名已開啟隱私保護服務,whois查詢無法看到註冊者信息,如下:



精彩推薦





arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()