诈骗知名门户的黑产团伙,被我们锁定

今日,微博认证为“搜狐公司董事局主席兼CEO张朝阳”的“搜狐charles”用户发布信息称,因搜狐员工内部邮箱被盗,进而受到网络钓鱼攻击,并表示目前技术部门及时介入,损失较小。

d692856158380c7ac4dcec71ba79507b

综合当前信息进行溯源追踪,经微步在线情报局确认,这是Ganb黑产组织(微步在线内部命名)发起的又一次“网络钓鱼”攻击。微步在线情报局早在去年就捕获并持续追踪一批灰黑产组织自2021年末至今以医疗保障金领取,公积金补贴等名义,通过大量群发钓鱼邮件和短信进行钓鱼诈骗。在2022年3月份左右,Ganb黑产组织攻击愈发猖獗,对金融行业展开大规模钓鱼攻击,微步情报局已及时对其活动进行通报。微步情报局对其具体分析如下:

该黑产组织针对多个行业生成多种对应话术模板,通过邮件和短信大量群发进行广撒网钓鱼,使用的钓鱼话术以“医疗保障金领取”、”工资补贴”为主,其最终目的为盗取受害者的银行卡、手机号、银行卡密码、身份证号等信息并对其进行诈骗。

经微步情报局关联发现,该黑产组织最早于2021年12月开始活跃,日渐猖獗。受害者分布广泛。

该黑产组织关系模式属于”一人开发,分销多人“,即上游系统供应商负责开发出相应管理平台框架,开发完成后对其下游销售系统账号的使用权限,涉及多人。

使用的资产具有较强的反侦察意识,相关域名、管理后台站点均隐藏信息,并使用全流量 DNS 解析服务进行分发流量,最终导向黑客组织拥有的香港亚马逊服务器。

该黑产组织使用 DGA 技术生成大量域名做跳板,保证其网站存活性同时具有迷惑作用,同时使用若干域名做调度,最终指向该组织的真实资产。

该黑产组织使用的资产及跳板域名无明显特征,资产选用没有明显规律且资产变化部署极为迅速,便于在域名遭到封禁时快速转换资产绑定域名,保证其相关资产持续可访问。

16e973e0364480efa3bdf7a0442f6673

2

事件分析

微步情报局监测发现多起黑产组织针对国内手机用户的邮件和短信诈骗行为,其目的为收集受害者身份证、银行卡号、手机号等多种隐私信息并对其进行诈骗。其详细诈骗手法分析如下:

2.1 邮件投递

首先该黑产组织群发邮件至受害者邮箱或群发短信至受害者手机(以邮件发送为主),邮件正文谎称“财务部发放工资补贴,扫码即可领取”,以及“领取医疗保险金”等来吸引受害者关注,该组织利用 DGA 域名生成技术,生成了大量用于做为跳板的 DGA 域名,将其制成二维码。受害者通过手机扫描二维码来解析到对应的钓鱼页面。

dd89173b4d1ac07fae119afb205c377d

2.2 实施诈骗

当用手机扫描二维码后,进入对应钓鱼页面,值得一提的是,在跳转的过程中,会通过获取请求流量中的特征(UserAgent字段和屏幕分辨率等信息)从而分辨受害者的手机系统类别(安卓、苹果)。检测到访问设备为电脑时会提示“请使用手机访问”,此页面主要作用为诱导受害者填写银行卡、姓名、手机号、身份证号等详细信息。a18d6f672b24a3c7a12d26ef520c6b04

当受害者如实填写信息提交后,该钓鱼页面会进行弹框提示,通过后台实时自定义的提示弹框提示对受害者进行下一步诈骗。如“CVV错误,请重新输入有效期和CVV”,“请输入网银密码”等,通过后台实时人工针对不同情况对受害者进行精准诈骗。

图片图片

3

资产分析

3.1 资产特点

(1)收集确认到大量的该黑产组织后相关资产及关联资产后,发现以下特征:钓鱼邮件中二维码扫描后解析出的域名一般为自动生成的无规律域名(俗称DGA域名),生成算法未知,但从注册域名长度一般为4-6位的随机数字或者字母组合,配合 run、xyz、pro、nuo 等免费顶级域名组合使用,如下图所示:

图片

(2)为管理生成的大量 DGA 域名并保证域名解析到指定的诈骗界面,该组织使用配置 cname 指向特定调度域名来对 DGA 域名进行分类调度。DGA 域名被访问后,首先会解析到配置 cname 指向的某一 site*.ganb.run 域名,再由 site*.ganb.run 域名指向对应的解析 IP,开始业务通信。原理如下图所示:

图片

(3)根据其服务基本配置信息可以发现以下特征:

a)用 site*.ganb.run 的公网域名作为 CNAME 调度域名,公网域名如下:

i.site01.ganb.run

ii.site02.ganb.run

iii.site03.ganb.run

iv.site04.ganb.run

v.site05.ganb.run

vi.site06.ganb.run

vii.site07.ganb.run

b)实际的域名访问方式,DNS 解析如下图所示,钓鱼域名 cname 到 site*.ganb.run,随后由 site*.ganb.run 调度解析到实际解析 IP。

图片

c)目前收集到 *.ganb.run 最终解析到的 IP 共有12个,包含国内外的各种云主机。地址如下:

viii.103.123.161.205

ix.167.172.61.83

x.91.89.236.15

xi.163.21.236.11

xii.47.57.3.168

xiii.45.129.11.106

xiv.13.71.136.247

xv.119.28.66.157

xvi. 27.124.17.20

xvii.103.158.190.187

xviii. 47.242.105.202

xix.103.118.40.161

3.2 溯源结果

(1)通过一定溯源分析手段,进入了该团伙后台总控地址,获取到网站详细信息。如下图所示:

图片

通过分析发现,该平台共有8个用户账号,对应使用不同的钓鱼手法及模板进行钓鱼。也因此推测该开发者该黑产组织关系模式属于”一人开发,分销多人“,即上游系统供应商负责开发出相应管理平台框架,开发完成后对其下游销售系统账号的使用权限。且根据账号密码特征分析,该系统开发者自身也使用了其中两个账号参与到了此次钓鱼攻击中。

(2)通过使用账号密码登陆对应后台,在后台界面发现大量用户信息,粗略统计,总体受害者规模已达数千人,且后台提交受害者数据仍在不断增加。

图片

图片

在其后台设置发现,其后台系统设置中,内置了一些钓鱼页面字段填写开关,例如姓名开关、银行卡号开关等,旨在指定手机受害者相关信息。

同时通过功能判断,其内置了共计8套钓鱼模板,且可自定义跳转的弹窗文字。

图片

具体模板如下:

1.ETC模板(已有在野利用)

2.新-ETC模板(已有在野利用)

3.社保模板(已有在野利用)

4.医保模板(已有在野利用)

5.某团模板

6.工商模板

7.某政模板

8.某东-某政模板

9.某鱼模板(已有在野利用)

部分钓鱼邮件话术模板如下:

图片

图片

部分钓鱼网站模板如下:

图片图片图片

建议企业根据以上信息内部自查是否有收到涉及相关主题、正文的邮件及短信,并及时对员工通报预警,提醒员工不要相信此类话术及网站。

(3)通过其总控后台的域名管理发现,该黑产组织目前手中掌握有大量的 DGA 跳板域名,共计831个,用以快速变换域名绑定部署,对抗域名封禁。

图片

同时通过其域名添加时间记录发现,相关域名最早添加于2021年12月26日,证明该组织至少于2021年12月左右就已经开始登场活跃。

图片

(4)通过以上多种数据维度分析,判断该组织为一个典型的黑产组织,以公积金,医疗保障金等生活相关的话术进行大批量撒网钓鱼,引导受害者进入其部署的诈骗网站。目前已有大量受害者。同时区别于以往黑产的自动化钓鱼方式,该组织使用了“人工值守”方式提高钓鱼成功率,即后台人员实时根据受害者填写提交的信息进行弹框提示,精准引导、诈骗受害者。

– END –

公众号内回复“ganb”,可获取附录IOC文档。

关于微步在线研究响应中心

微步情报局,即微步在线研究响应中心,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。

内容转载与引用

1. 内容转载,请微信后台留言:转载+转载平台

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”

本文来自投稿,不代表安强科技社区立场,如若转载,请注明出处:https://community.anqiangkj.com/archives/17434

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年6月6日 下午1:26
下一篇 2022年6月7日 下午1:01

相关推荐