大早上就收到一封钓鱼邮件:
![[反钓鱼实践] 韩兴强和张孟超,叔叔找你](http://cn-sec.com/wp-content/uploads/2024/07/6-1719913937.png "韩兴强和张孟超,叔叔找你")
直接右键查看源码,发现攻击者发送邮件的域名iwobgqw.cn,对应IP:139.155.15.138(中国 四川 成都 腾讯云),通过Supermailer发送,同时还有一个QQ邮箱地址[email protected],可能攻击者是83年11月12日出生的?
![[反钓鱼实践] 韩兴强和张孟超,叔叔找你](http://cn-sec.com/wp-content/uploads/2024/07/7-1719913939.png "韩兴强和张孟超,叔叔找你")
域名没有备案,但是查询whois可以获取到姓名——韩兴强:
![[反钓鱼实践] 韩兴强和张孟超,叔叔找你](http://cn-sec.com/wp-content/uploads/2024/07/8-1719913940.png "韩兴强和张孟超,叔叔找你")
好家伙,直接实名钓鱼啊!在微步分析域名发现为恶意地址,做个好事标记一下:
![[反钓鱼实践] 韩兴强和张孟超,叔叔找你](http://cn-sec.com/wp-content/uploads/2024/07/1-1719913941.png "韩兴强和张孟超,叔叔找你")
本想通过QQ邮箱找回密码获取一些信息,发现此邮箱没有绑定手机号,告辞。
继续分析附件,担心附件有问题,直接上传微步情报社区分析,显示安全:
![[反钓鱼实践] 韩兴强和张孟超,叔叔找你](http://cn-sec.com/wp-content/uploads/2024/07/6-1719913942.png "韩兴强和张孟超,叔叔找你")
为了安全起见,在虚拟机打开查看附件有一个二维码,截图后使用草料二维码在线解码提取域名:http://qh.xcegx.cn
![[反钓鱼实践] 韩兴强和张孟超,叔叔找你](http://cn-sec.com/wp-content/uploads/2024/07/10-1719913943.png "韩兴强和张孟超,叔叔找你")
这个域名对应的IP是香港地址:118.107.1.187,不过Whois信息都是同一个人,注册联系人是:[email protected]:
![[反钓鱼实践] 韩兴强和张孟超,叔叔找你](http://cn-sec.com/wp-content/uploads/2024/07/9-1719913944.png "韩兴强和张孟超,叔叔找你")
微步情报社区搜索结果,继续做个好人标记一下:
在虚拟机访问域名,看到钓鱼网站,胆子真大啊:
点击领取跳转到提交信息页面:
![[反钓鱼实践] 韩兴强和张孟超,叔叔找你](http://cn-sec.com/wp-content/uploads/2024/07/0-1719913949.png "韩兴强和张孟超,叔叔找你")
随便填写数据提交后到了另一个页面:
![[反钓鱼实践] 韩兴强和张孟超,叔叔找你](http://cn-sec.com/wp-content/uploads/2024/07/6-1719913950.png "韩兴强和张孟超,叔叔找你")
可以看出攻击者的目的是收集个人信息然后进行后续违法犯罪。Burp抓包看到信息提交到sfdwrn.pjnhcrf.cn,同时还有其它域名,查询Whois后得到如下信息:
-
pjnhcrf.cn(52.175.18.77)——张孟超 -
d03y1cn.cn(20.2.154.164)——张孟超 -
xpjnczt.cn(52.175.18.77)——张孟超
通过错误信息发现网站使用thinkphp 6.1.4:
简单渗透了一波(Xray、Nuclei、Goby加各thinkphp漏洞检测工具)没发现有用的漏洞,通过搜索引擎可以检索到攻击者使用的邮箱客户端软件Supermailer:https://www.wealsoft.com/htmls/supmail.htm,简单看了下不是部署在Web端的,要想反制可以分析下客户端软件的漏洞反向钓鱼攻击者一波,但是我不打算分析了。
先去违法和不良信息举报中心:https://www.12377.cn做个好事,交给国家处理:
本来以为这样就结束了,结果周一刚来就又收到一封钓鱼邮件:
![[反钓鱼实践] 韩兴强和张孟超,叔叔找你](http://cn-sec.com/wp-content/uploads/2024/07/7-1719913955.png "韩兴强和张孟超,叔叔找你")
邮件查看源码,还是同样的人,这次伪装成管理员给我施展连环计了。提取邮件源码中的发件人域名:alamayi.cn,IP为:124.221.23.157(中国 上海 腾讯云),Whois信息仍然是韩兴强,注册联系人仍然是[email protected]。邮箱中的链接为:http://[邮箱用户名].协同办公助手.网络/index/t8.html?err=1b473&dispatch=80&id=e7d&e=[邮箱地址]。 这么高级,居然会自动获取我的邮箱地址。访问之后是一个简陋的页面,目的是骗取受害人邮箱账号和密码:
填写的密码账号密码会提交到后台 /index/insertData。简单渗透一下发现IP被封了,用代理池扫一波没发现漏洞就没继续分析了。
搜索注册联系人邮箱域名发现是江苏威凯尔医药科技有限公司,不能是公司的人在搞黑产吧?难道邮箱被盗了?用团队的邮箱发送邮件给对方确认,等待一天无果。
最后汇总一下攻击者的信息:
| 攻击者 | 所属域名 | IP | 服务器地址 | 域名注册联系人 | 域名注册时间 | 域名过期时间 |
|---|---|---|---|---|---|---|
| 韩兴强 | iwobgqw.cn | 139.155.15.138 | 中国 四川 成都 腾讯云 | [email protected] | 2023-11-12 16:00:21 | 2024-11-12 16:00:21 |
| 韩兴强 | qh.xcegx.cn | 118.107.1.187 | 中国 香港 | [email protected] | 2024-06-17 20:49:07 | 2025-06-17 20:49:07 |
| 张孟超 | pjnhcrf.cn | 52.175.18.77 | 中国 香港 微软云 | [email protected] | 2024-06-23 14:56:02 | 2025-06-23 14:56:02 |
| 张孟超 | d03y1cn.cn | 20.2.154.164 | 中国 香港 微软云 | [email protected] | 2024-06-24 15:34:13 | 2025-06-24 15:34:13 |
| 张孟超 | xpjnczt.cn | 52.175.18.77 | 中国 香港 微软云 | [email protected] | 2024-06-27 14:33:02 | 2025-06-27 14:33:02 |
| 韩兴强 | alamayi.cn | 124.221.23.157 | 中国 上海 腾讯云 | [email protected] | 2023-09-21 16:54:04 | 2024-09-21 16:54:04 |
| 韩兴强 | an.xn--55qx2a8ay3cr3ak93d.xn--io0a7i | 47.238.153.200 | 中国 香港 阿里云 | 阿里云 | 2024-06-24T00:42:43Z | 2025-06-24T00:42:43Z |
根据中文域名的Whois信息可以看出,域名注册地是应该是辽宁:
目前韩兴强名下已注册53个域名,张孟超名下已注册148个域名,看样子是老诈骗犯了,辽宁警方需要给点力了。如果有认识这两位的也劝劝,坦白从宽。
原文始发于微信公众号(Hack All Sec):韩兴强和张孟超,叔叔找你
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论