搜狐中招釣魚郵件詐騙的技術和基礎設施分析
背景概述
2022年4月中旬,客戶反饋收到以工資補貼相關為誘餌的釣魚郵件。郵件附件為doc文檔,其中包含一個二維碼(如下圖所示)。掃描二維碼后,將跳轉到釣魚鏈接:http://*. kjhdf[.]uno/(如http://546a2cd984338f4ec6091d63c394be61.kjhdf[.]uno/)。根據調查,發現攻擊者使用的發件郵箱是之前通過釣魚獲取到的真實郵箱地址,因此極具迷惑性,更易讓內部人員中招。
根據奇安信威脅情報中心的持續跟蹤,推測該釣魚活動可能于2021年12月底左右開始。自活動開始以來,約有6000個域名被用于攻擊中。目前該釣魚活動還在持續進行中,攻擊者仍在不斷更新升級系統,更新基礎設施。
經過測試,發現掃描二維碼后進入釣魚頁面,該頁面要求使用手機端打開。釣魚頁面內容仿冒“工資補貼”或“中國***在線認證中心”相關主題。如下圖所示:
● 釣魚頁面1(偽造成“工資補貼”)
● 釣魚頁面2(偽造成“中國***在線認證中心” )
用戶根據欺詐頁面引導進行操作后,被引導至個人銀行卡信息收集頁面,收集的信息包括銀行卡、姓名、身份證、手機號、有效期、CVN、信用額度、卡內余額等。如下圖所示:
用戶填寫信息后,會進行手機號短信或銀行卡驗證。如下圖:
拓展分析
釣魚頁面
通過瀏覽器抓包,對釣魚頁面進行分析,如下:
1.會通過Jump.js判斷當前環境是否為移動端,不是則會將頁面重定向到pc.html。
2.生成用戶Cookie
3.加載配置的后臺接口地址:http://api.khjqwe[.]uno/
4.向后臺發送當前頁面信息
5. 獲取WebSocket,建立回調方法
歷史活動
根據已有的信息,在網絡上檢索,發現在3月初,就有很多政府媒體發布過相關詐騙預警。
在2022年2月,某郵件安全廠商也披露過使用該釣魚模板的活動(https://www.cacter.com/news/672)。
攻擊者基礎設施
IP1:45.116.214[.]135
使用本次事件涉及的釣魚頁面http://*. kjhdf[.]uno/關聯到的解析IP(45.116.214[.]135)進行擴展和篩選,進一步發現以下域名存在釣魚風險。最早的注冊時間為2022年2月21日。、
Domain 注冊時間 最近看到時間 hdesddd.uno 2022-04-13 2022-04-16 vbgwqe.uno 2022-04-13 2022-04-16 kjhdf.uno 2022-04-17 2022-04-18 prdfd.uno 2022-02-21 2022-03-03 xzcvsgqw.uno 2022-04-16 2022-04-16 jhdwqd.uno 2022-04-13 2022-04-16 |
IP2:47.57.138[.]120
通過釣魚頁面抓包,發現本次釣魚頁面請求域名hdesdd[.]uno和khjqwe[.]uno上的資源。這兩個域名均解析至ip(47.57.138[.]120)。因此推測47.57.138[.]120為攻擊者控制的基礎設施,以操縱釣魚頁面數據(如http://api.khjqwe[.]uno//api/getTemplateData.php)和發送手機驗證碼(如:http://api.khjqwe[.]uno//api/setCodeCount.php?uid=e51f2076-1bb1-ea30-d59b-4bb7f9111a88)等操作。
Domain 注冊時間 最近看到時間 hdesdd.uno 2022-04-13 2022-04-16 khjqwe.uno 2022-04-15 2022-04-17 |
域名:*.ganb.run
分析發現域名kjhdf.uno的CNAME為*.ganb.run。ganb.run的注冊日期為2021年12月21日。通過對域名ganb.run進一步擴展,發現其相關ip歷史曾解析到的域名大部分符合該釣魚活動特征。例如域名的CNAME為*.ganb.run,并且多以*.fun、*.pro、*.uno、*.club、*.ink、*.sbs、*.xyz的形式出現。
多源擴展到的*.ganb.run相關解析IP:
● 103.118.40.161(中國香港)
● 47.57.11.87(中國香港)
● 156.234.168.76(中國香港)
● 45.116.214.135(中國香港)
● 154.23.134.154(中國香港)
● 27.124.2.112(中國香港)
● 45.129.11.106(中國香港)
利用大數據平臺查詢到近5個月(2021年12月-2021年4月)來,大約有4000多個域CNAME到ganb.run的子域,涉及830多個頂級域名。其中除近期跟蹤到的域名,其余均不能訪問。
DOMAIN CANME的域名個數 site.ganb.run 1 site01.ganb.run 1000 site02.ganb.run 140 site03.ganb.run 40 site04.ganb.run 63 site05.ganb.run 1000 site06.ganb.run 1000 site07.ganb.run 384 site08.ganb.run 448 site09.ganb.run 14 site603.ganb.run 1 總計 4091 |
其中,有581個(約70%)域名的解析服務器為:ns1.dynadot.com、ns2.dynadot.com。其次有80個(約9.6%)域名的解析服務器為ns2.dnsowl.com、ns1.dnsowl.com、ns3.dnsowl.com。
域名服務器 解析TPD個數 約占比 ns1.dynadot.com ns2.dynadot.com 581 0.693317422 ns2.dnsowl.com ns1.dnsowl.com ns3.dnsowl.com 80 0.095465394 未注冊 82 0.097852029 其他 95 0.113365155 |
對這些域名的注冊時間進行分析統計,其中大部分域名在2022年期間注冊,占比約為85%。
注冊時間 域名個數 約占比 2021-12-21后 709 0.846062053 2021-01-01至12-21 16 0.019093079 2020年 2 0.002386635 2019年 10 0.011933174 2015年、2016年 19 0.022673031 |
在CNAME為*gand.run的條件下,進一步篩選注冊時間在2022年,域名服務器為dnsowl.com和dynadot.com的域名,總共有3587條,約占87.7%。
2022年4月下旬
其中,與本次某大型互聯網公司中招事件特征完全相符的域名最早注冊于2022年4月16日。符合上述條件且在該日期之后解析的域名信息如下,并且均CNAME到site01.ganb.run。這些域名大多數被用于前端的釣魚。
域名 解析ip 注冊時間 hkjkwn.uno 45.116.214.135(中國香港) 2022/4/18 22:02 xmnzxc.uno 45.116.214.135(中國香港) 2022/4/18 22:02 qoiwhas.uno 45.116.214.135(中國香港) 2022/4/18 22:02 mgerrewd.uno 45.116.214.135(中國香港) 2022/4/18 22:02 uoirwqa.uno 45.116.214.135(中國香港) 2022/4/17 21:09 cvjhwqa.uno 45.116.214.135(中國香港) 2022/4/17 21:09 kjhdf.uno 45.116.214.135(中國香港) 2022/4/17 11:03 wqaszx.uno 45.116.214.135(中國香港) 2022/4/17 11:03 vckbhre.uno 45.116.214.135(中國香港) 2022/4/16 0:52 |
2022年4月上旬
注冊時間在4月上旬的釣魚域名,主要解析至103.118.40.246(中國香港)。
103.118.40.246同樣是中國香港的服務器。該ip近期曾被域名3e9f685443d1b75d932bf7ebf2903075[.]npfnwzo.cn解析,該域名格式和訪問后頁面符合本次活動特征。npfnwzo.cn存在注冊人信息,注冊時間為2022年2月19日。
2022年5月
103.61.0.110是中國香港的服務器,監測到其大概從2022年4月29日開始被解析至與該活動相關的釣魚域名。
103.79.54.29(中國香港),監測到其大概從2022年5月11日開始被解析至與該活動相關的釣魚域名。主要CNAME到site001.ganb.run、site01.ganb.run。
后臺API域名
發現符合本次活動特征的多個后臺api域名(如下表所示)。這些域名除api.ganbganb.run外,均在3月或4月初注冊。并且大多解析至位于中國香港的服務器,同時CNAME至*.ganb.run。而在4月下旬開始,并沒有監測到api.*.*的域名解析。跟蹤到的api域名也并不會CNAME至*.ganb.run。可以反向推測,在4月下旬后,攻擊者對其基礎設施的架構進行過調整,將前端和后臺進行了拆分,以隱藏后臺的api域名。
域名 解析ip 注冊時間 api.ganbganb.run 154.38.100.145(中國香港) 2022-02-10 04:16:27 api.klhjsw.fun 47.57.3.168(中國香港) 47.57.11.87(中國香港) 2022-03-04 14:01:53 api.kgmwa.pro 45.129.11.106(中國香港) 2022-03-06 23:44:22 api.qkwj.pro 2022-03-09 12:54:56 api.peydhgw.uno 103.158.190.187(日本) 2022-03-11 02:43:45 api.yerws.uno 47.57.11.87(中國香港)、 103.118.40.161(中國香港) 2022-03-26 23:26:42 api.rtyj.fun 2022-04-06 21:21:23 |
最近活動
近期跟蹤,發現比較活躍的攻擊者的基礎設施。如下:
開始時間 前端 Websocket 后端 2022-04-17 kjhdf.uno等 (45.116.214.135) ws://online.hdesdd.uno:2001 (47.57.138.120) http://api.khjqwe.uno/(47.57.138.120) 2022-04-23 nfhfwew.uno gjkhas.uno uyhyjds.uno等 (45.116.214.135) ws://online.ituerew.uno:2001 (47.75.113.220) http://api.keueqas.uno(47.75.97.38) 2022-04-30 nbgtwdf.xyz等 (103.61.0.110) 2022-05-11 bbvnsz.xyz等 (103.79.54.29) http://api.fgdas.xyz(119.28.14.166) |
總結
綜上信息,推測該釣魚活動可能于2021年12月底左右開始,主要攻擊方式為通過欺詐郵件(如偽裝成“補貼”、“ETC”等涉及民生相關主題),誘導目標使用手機掃描二維碼訪問釣魚頁面。釣魚頁面會收集受害者銀行卡信息,以進行后續的惡意活動,如騙取錢財。其相關活動在2022年2月底被郵件安全廠商和政府媒體預警披露過。基于上述分析,梳理的釣魚活動關鍵節點:
● 2021年12月21日,注冊域名ganb.run,開始釣魚活動
● 2022月2月末,釣魚活動被郵件安全廠商披露
● 2022年4月下旬,采用新的基礎設施架構,通過使用類似*. kjhdf[.]uno(如546a2cd984338f4ec6091d63c394be61.kjhdf[.]uno)的DGA域名釣魚,*為隨機生成的32位字符串。并將進行重要操作(如發送手機驗證碼、銀行卡驗證)的api服務器在前端的JS框架配置和調用,以進行隱藏。
目前,該釣魚活動還在持續進行,攻擊者還在不斷更新升級系統,更新基礎設施。
4月上旬關聯到的域名npfnwzo.cn存在注冊人信息,注冊時間為2022年2月19日。注冊信息如下:
注冊人:高友恒
注冊郵箱:zq50zk@163.com
通過檢索,發現該郵件至少關聯到200多個域名,這些域名基本都以“*(隨機字符串).cn”出現。
目前奇安信威脅情報中心賦能的全線產品及外部合作伙伴,包括天眼高級威脅檢測系統、SOC、態勢感知、ICG等,已經支持相關攻擊的檢測和阻斷。
參考鏈接
[1] https://www.cacter.com/news/672
