其中附件为随机的字符串组合,推测为随机爬取的内容。该组织利用自身资产的域名下的子域名来模仿受害者官方正规邮箱网站,降低受害者的警惕心理,从而为后期骗取账密提供帮助。
据监测发现,近期出现大批量针对国内企业、高校和事业单位等进行大规模专业的邮件钓鱼事件,经过分析,该事件为典型的国内邮箱窃密的黑灰产组织,将之命名为StrivePhish组织,具体分析如下:
- 该组织主要针对国内公司企业、高校和事业单位,属于典型的“广撒网,多捞鱼”模式,涉及范围极广,群发内嵌钓鱼链接的邮件进行邮箱账号密码窃取;
- 该组织使用特定的钓鱼链接进行针对性攻击,钓鱼域名为组合域名,即使用接收邮件人员所在公司的官网加上该组织域名资产而来,目的是增加钓鱼链接可信度,提高钓鱼成功率;
- 该组织已将查询目标账户,申请域名,绑定钓鱼服务和发送邮件等一系列攻击链路形成模板化和自动化流程,根据监控发现该组织的钓鱼目标最高增长量在600条以上;
- 关联发现,该组织最早于2022年5月13号开始活跃,且通过其后台数据推断,至少已获取1500多条对应的账户密码,危害十分巨大;
- 通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。
通过分析发现,该组织资产钓鱼邮件中的钓鱼链接如下图所示,主要有四部分构成,分别是接收邮件的受害者官网、该组织的资产、参数以及指定的邮箱账户。
访问该钓鱼链接后会如下图所示,该组织通过这种恶意域名下拼接官网域名的方式增加钓鱼链接的可信程度,从而进一步诱导骗取邮箱密码。
三、 事件分析3.1基本信息该黑灰产组织针对国内公司企业、高校和事业单位等进行钓鱼诈骗活动。根据已有线索进行分析推断,该组织的攻击流程如下图所示,并根据该组织活动规律及资产线索判断,该流程已形成模板化,进行自动分发钓鱼服务,具体如下:
- 确立目标进行钓鱼;
- 通过公网或其他黑产数据集收集目标企业的潜在用户邮箱;
- 在该组织拥有的域名下使用目标企业的官网域名来拓展子域名,形成钓鱼链接;
- 使用邮件模板并内嵌生成的钓鱼链接生成钓鱼邮件;
- 发送钓鱼邮件给潜在用户;
- 潜在用户提交相关邮箱账密到后台;
- 后台收集并存储提交的受害者账密;
- 获取邮箱账密后继续进行其他的违法犯罪活动。
3.2.1邮件投递该黑灰产组织构造指定的钓鱼邮件发送至受害者邮箱,邮件正文中谎称旧版邮件系统迁移确保邮箱账户是否正常登录的方式诱导受害者点击其中的链接。其中附件为随机的字符串组合,推测为随机爬取的内容。该组织利用自身资产的域名下的子域名来模仿受害者官方正规邮箱网站,降低受害者的警惕心理,从而为后期骗取账密提供帮助。
【----帮助网安学习,需要网安学习资料关注我,私信回复“资料”免费获取----】① 网安学习成长路径思维导图② 60 网安经典常用工具包③ 100 SRC漏洞分析报告④ 150 网安攻防实战技术电子书⑤ 最权威CISSP 认证考试指南 题库⑥ 超1800页CTF实战技巧手册⑦ 最新网安大厂面试题合集(含答案)⑧ APP客户端安全检测指南(安卓 IOS)
3.2.2链接跳转当点击邮箱内钓鱼链接时,首先会进入链接邮箱服务器界面,如下图所示:
该功能主要为根据邮箱后缀加载对应公司logo及背景,若无法识别,则使用默认界面,如下表所示:
然后将邮箱进行base64加密后进行传参,并预先填充邮箱,如下图所示:
3.2.3账密获取当网页跳转到如下链接时,会进入对应的钓鱼页面。该网页的主要作用是填写邮箱的密码,邮箱已经填入其中且无法进行修改。
当输入第一次密码时会提示“服务器响应:密码错误“,需要再次进行填写密码。
当再次填写密码时,会显示正在更新中,并重定向回邮件,最后跳转到受害者所在公司的官网,如下图所示。推测填写两次密码是该组织的过滤校验方式,判定填写内容是否为真正密码,即两次密码相同则判定密码为真实密码。
四、 关联分析4.1版本信息通过关联分析,发现该组织使用主域名资产时间从前到后如下所示,域名服务均绑定在同一ip:157.52.230.252上:
- mail-com.al
- mail-cn.al
- umail.com.es
- mal.com.es
涉及的潜在受害者截至6月8日已发现累计1600余条相关钓鱼域名,其中钓鱼域名根据时间的增长量如下图所示,可以发现该组织上半年十分活跃,详细情况参见附录-文件。
通过仿冒域名统计该组织发送钓鱼邮件可能存在的部分受害者如下所示:
发现受害者主要集中在公司集团、大学学院以及事业单位等,具体占比分布如下:
4.2溯源信息
在钓鱼网站跳转时,从源码中的一段注释发现端倪,与实际执行功能代码做对比,疑似为测试代码,如下图所示:
结合之前分析,该处为base64加密的邮箱,此处对其解密如下图所示,解出对应的邮箱为84*******@qq.com。经过分析,该邮箱可能为该黑灰产组织所有,也可能为钓鱼模板设计者所有。
4.3拓线信息通过全网探测可知,该组织除了使用该ip:157.52.230.252进行钓鱼服务外,还布置了其他的服务,其中ip:45.92.193.86用于存储转移相关盗窃的邮箱帐密,如下图所示为每天盗窃的邮箱账密信息,其中不仅包括邮箱帐密,还有登录ip,地址,时间及设备判断,最后的导出状态推测为该组织转移数据使用:
从上面的图中可以推测该组织具有一定的“奋发向上“的精神,国内背景可能性较大,结合其数据库标语,将该组织命名为StrivePhish组织。且笔者进行了邮箱测试,如下图所示,使用伪造邮箱 shiwangrufeng@outlook.com并随机密码zhang123456提交到该钓鱼网页。
果然,在存储后台界面出现测试的邮箱帐密,如下图所示:
经过继续对其进行调查发现,该组织截至发现时已盗窃邮箱帐密记录多达1507条,危害巨大。一旦发现访问相关链接邮箱账密被盗,及时修改密码止损。
附录 - 行动建议威胁处置- 当点击该类似钓鱼网站提交过邮箱密码时,请立即进行修改密码,新密码需使用10位以上由数字、大小写字母和特殊符号的复杂密码,并养成定期更换密码的习惯;
- 内部核查被盗邮箱发送给其他邮箱的情况,避免进一步传播;
- 对该钓鱼域名及ip进行及时封堵。
- 对于个人而言,不接受陌生的邮件,不点击陌生的邮件链接,不在不可信网站上输入邮箱账密;
- 对于企业而言,公司需要建立件安全系统,比如使用电子邮件安全网关,过滤钓鱼邮件,还需要定期对员工进行安全培训。建立完善机制督促员工养成不使用弱密码以及定期修改密码的习惯,以减轻邮箱被盗风险。
