【钓鱼预警】疑似GanbRun组织针对国企、科技、金融行业的账密窃取

admin 2025年6月7日00:21:30评论2 views字数 922阅读3分4秒阅读模式

近期捕获到多起伪装成企业内部系统,谎称账号异地登录的钓鱼案件,使用的技战术包括:链接隐藏,发件人伪装,恶意链接,凭证窃取,心理操纵,信任伪装,请注意防范!

1、初始投递

邮件内容如下:

【钓鱼预警】疑似GanbRun组织针对国企、科技、金融行业的账密窃取

传到deepphish EML分析平台跑一下,SPF通过了,如箭头所指,攻击者自建了邮件服务器,还做了诸多的配置以通过常规安全检查。

【钓鱼预警】疑似GanbRun组织针对国企、科技、金融行业的账密窃取

发件服务器IP 27.124.47.215如下,位于香港:

【钓鱼预警】疑似GanbRun组织针对国企、科技、金融行业的账密窃取

发件域qqqeiefqzie.cn如下:

【钓鱼预警】疑似GanbRun组织针对国企、科技、金融行业的账密窃取

邮件中隐藏的URL如下,打码的地方其实是收件人邮箱的Base 64编码,在收件人打开恶意链接后,会自动填充到输入框username字段。

【钓鱼预警】疑似GanbRun组织针对国企、科技、金融行业的账密窃取

AI辅助分析下:

【钓鱼预警】疑似GanbRun组织针对国企、科技、金融行业的账密窃取
【钓鱼预警】疑似GanbRun组织针对国企、科技、金融行业的账密窃取

2、打开链接

“立即验证” 这个地方隐藏了真实链接,当收件人收到心理压迫后(如您未进行此操作,请立即检查您的账户安全。若在24小时内未验证,部分功能将会受限),会打开钓鱼页面,所谓的“邮箱验证中心”。由于用户名已经被自动填充,输入密码后就提交到黑产后台了。这个钓鱼网站甚至没有用https,域名和发件域都是同一套。

【钓鱼预警】疑似GanbRun组织针对国企、科技、金融行业的账密窃取
【钓鱼预警】疑似GanbRun组织针对国企、科技、金融行业的账密窃取

存在标点符号错误和错别字,但为时已晚。

【钓鱼预警】疑似GanbRun组织针对国企、科技、金融行业的账密窃取

3、相关IOC信息

钓鱼网站地址:

【钓鱼预警】疑似GanbRun组织针对国企、科技、金融行业的账密窃取

位于东京:

【钓鱼预警】疑似GanbRun组织针对国企、科技、金融行业的账密窃取

该IP存在大量和钓鱼攻击相关的非法服务,基本可以双向黑名单了。

【钓鱼预警】疑似GanbRun组织针对国企、科技、金融行业的账密窃取

发件地址:@qqqeiefqzie.cn 27.124.47.215

窃密网站:qqqeiefqzie.cn 137.220.170.53

4、总结

GanbRun组织近几年基本没有歇过,非常卷,经常利用泄露的邮箱账号密码/或弱密码/或撞库,钓鱼窃密,进一步获取企业邮箱通讯录,乃至上下游合伙伙伴通讯录,再扩大战果,如此循环往复。获取了账密就等于获取了权限和背后的数据,网络攻防的本质就是权限的突破!

【钓鱼预警】疑似GanbRun组织针对国企、科技、金融行业的账密窃取

各企业员工注意防范,钓鱼邮件模版已更新到DeepPhish反钓平台,网页模板后续跟进。

支持我们,在钓鱼中招前打一针疫苗!

- EML分析工具:deepphish.cn/eml

- 反钓鱼训练平台:deepphish.cn/apt

- 官微:Wh0ami1999

群二维码已拒绝服务,想一起搞反钓鱼的小伙伴加官微拉群,谢谢!

原文始发于微信公众号(无限手套Infinity Gauntlet):【钓鱼预警】疑似GanbRun组织针对国企、科技、金融行业的账密窃取

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月7日00:21:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【钓鱼预警】疑似GanbRun组织针对国企、科技、金融行业的账密窃取http://cn-sec.com/archives/4139856.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息