面对目前严峻的疫情形势,许多境内外黑客组织和网络犯罪团伙有了自己的小心思,纷纷发起了“国难财”,从普通黑产到国家级组织不一而足。奇安信威胁情报中心一直7×24小时持续对此类威胁进行监控,目前发现有零零狗、金钻狗等黑产组织利用疫情作为关键词进行诱饵制作攻击,而APT攻击方面,有疑似摩诃草组织制作疫情相关恶意文档和网站进行攻击,疑似毒云藤组织制作疫情相关钓鱼网站套取目标邮箱地址和口令等行动。

而近日,红雨滴团队再次发现一起钓鱼攻击,控制正在抗击疫情研发药物的机构的邮箱来发钓鱼邮件,刷新了攻击者活动让人不齿的下限。

钓鱼邮件

我们收到的钓鱼邮件如下:

发件人为某药物研究所的邮箱,目前猜测该所邮箱被盗。访问此药物科技研究中心的网站,看起来正在专注抗击疫情,现在需要向他们致敬,黑客特意用他们的邮箱可能有利用热点的意图。

点击邮件中的钓鱼域名,则会向目标展示一个钓鱼页面,如图:

在输入信息后,点击提交,则会跳转到另一个页面。有趣的是,钓鱼页面相当粗糙,”登陆地址”正确的写法应该是”登录地址”,下面的提示方案也打错了字,为保证”顺利生”,而漏掉了升级二字,因此可以初步判断,攻击者懂拼音,而不是直接使用谷歌翻译。

威胁分析

在对攻击者的钓鱼链接进行进一步分析过程中,我们发现该域名的解析IP为103.56.113.197。

并发现钓鱼网站有一个后台管理系统,名字叫鱼妹:

在该系统的钓鱼页面上找到了开发者的QQ:

这个系统开发商负责对后台管理系统进行安全维护(免杀),并且会提供域名和服务器等,要价8888元一套,并且其还确认了攻击者的系统归他所有,可谓是一丘之貉。

从中我们也发现了一条新的国内黑产钓鱼链:系统开发商提供域名、主机、管理系统,黑产攻击者使用这些信息,进行一次性攻击后删除证据,这样就会导致证据链短缺,难以进行下一步的追踪行动。

基于奇安信的域名跟踪抽样分析,钓鱼域名近期的访问趋势如下:

从钓鱼域名的访问来看,这波攻击从2月5日开始,已经有了一定的影响面。

总结

正如攻击者的后台系统名称”鱼妹”一样,这位攻击者是真的愚昧,还希望其他黑产从业人员能够以此为鉴,放下屠刀,共同抗疫。

最后希望这位提供侵入、非法控制计算机信息系统的开发商都够前去自首,并供出购置系统的攻击者。

相关攻击和钓鱼网站全部已经在情报库置黑,奇安信所有产品均可检测。

IOCs

magnumbeauty.cn

声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。