近期捕获到多起伪装成企业内部系统,谎称账号异地登录的钓鱼案件,使用的技战术包括:链接隐藏,发件人伪装,恶意链接,凭证窃取,心理操纵,信任伪装,请注意防范!
1、初始投递
邮件内容如下:
传到deepphish EML分析平台跑一下,SPF通过了,如箭头所指,攻击者自建了邮件服务器,还做了诸多的配置以通过常规安全检查。
发件服务器IP 27.124.47.215如下,位于香港:
发件域qqqeiefqzie.cn如下:
邮件中隐藏的URL如下,打码的地方其实是收件人邮箱的Base 64编码,在收件人打开恶意链接后,会自动填充到输入框username字段。
AI辅助分析下:
2、打开链接
“立即验证” 这个地方隐藏了真实链接,当收件人收到心理压迫后(如您未进行此操作,请立即检查您的账户安全。若在24小时内未验证,部分功能将会受限。),会打开钓鱼页面,所谓的“邮箱验证中心”。由于用户名已经被自动填充,输入密码后就提交到黑产后台了。这个钓鱼网站甚至没有用https,域名和发件域都是同一套。
存在标点符号错误和错别字,但为时已晚。
3、相关IOC信息
钓鱼网站地址:
位于东京:
该IP存在大量和钓鱼攻击相关的非法服务,基本可以双向黑名单了。
发件地址:@qqqeiefqzie.cn 27.124.47.215
窃密网站:qqqeiefqzie.cn 137.220.170.53
4、总结
GanbRun组织近几年基本没有歇过,非常卷,经常利用泄露的邮箱账号密码/或弱密码/或撞库,钓鱼窃密,进一步获取企业邮箱通讯录,乃至上下游合伙伙伴通讯录,再扩大战果,如此循环往复。获取了账密就等于获取了权限和背后的数据,网络攻防的本质就是权限的突破!
各企业员工注意防范,钓鱼邮件模版已更新到DeepPhish反钓平台,网页模板后续跟进。
支持我们,在钓鱼中招前打一针疫苗!
- EML分析工具:deepphish.cn/eml
- 反钓鱼训练平台:deepphish.cn/apt
- 官微:Wh0ami1999
群二维码已拒绝服务,想一起搞反钓鱼的小伙伴加官微拉群,谢谢!
原文始发于微信公众号(无限手套Infinity Gauntlet):【钓鱼预警】疑似GanbRun组织针对国企、科技、金融行业的账密窃取
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论