一、概述

据监测发现,近期出现大批量针对国内企业、高校和事业单位等进行大规模专业的邮件钓鱼事件,经过分析,该事件为典型的国内邮箱窃密的黑灰产组织,将之命名为StrivePhish组织,具体分析如下:

二、 团伙分析2.1团伙画像

湖北事业单位联考学校(针对企事业单位及高校的邮件钓鱼爆发)(1)

2.2资产特点

通过分析发现,该组织资产钓鱼邮件中的钓鱼链接如下图所示,主要有四部分构成,分别是接收邮件的受害者官网、该组织的资产、参数以及指定的邮箱账户。

湖北事业单位联考学校(针对企事业单位及高校的邮件钓鱼爆发)(2)

访问该钓鱼链接后会如下图所示,该组织通过这种恶意域名下拼接官网域名的方式增加钓鱼链接的可信程度,从而进一步诱导骗取邮箱密码。

湖北事业单位联考学校(针对企事业单位及高校的邮件钓鱼爆发)(3)

三、 事件分析3.1基本信息

该黑灰产组织针对国内公司企业、高校和事业单位等进行钓鱼诈骗活动。根据已有线索进行分析推断,该组织的攻击流程如下图所示,并根据该组织活动规律及资产线索判断,该流程已形成模板化,进行自动分发钓鱼服务,具体如下:

  1. 确立目标进行钓鱼;
  2. 通过公网或其他黑产数据集收集目标企业的潜在用户邮箱;
  3. 在该组织拥有的域名下使用目标企业的官网域名来拓展子域名,形成钓鱼链接;
  4. 使用邮件模板并内嵌生成的钓鱼链接生成钓鱼邮件;
  5. 发送钓鱼邮件给潜在用户;
  6. 潜在用户提交相关邮箱账密到后台;
  7. 后台收集并存储提交的受害者账密;
  8. 获取邮箱账密后继续进行其他的违法犯罪活动。

湖北事业单位联考学校(针对企事业单位及高校的邮件钓鱼爆发)(4)

3.2详细分析

3.2.1邮件投递该黑灰产组织构造指定的钓鱼邮件发送至受害者邮箱,邮件正文中谎称旧版邮件系统迁移确保邮箱账户是否正常登录的方式诱导受害者点击其中的链接。其中附件为随机的字符串组合,推测为随机爬取的内容。该组织利用自身资产的域名下的子域名来模仿受害者官方正规邮箱网站,降低受害者的警惕心理,从而为后期骗取账密提供帮助。

湖北事业单位联考学校(针对企事业单位及高校的邮件钓鱼爆发)(5)

湖北事业单位联考学校(针对企事业单位及高校的邮件钓鱼爆发)(6)

  【----帮助网安学习,需要网安学习资料关注我,私信回复“资料”免费获取----】  ① 网安学习成长路径思维导图  ② 60 网安经典常用工具包  ③ 100 SRC漏洞分析报告  ④ 150 网安攻防实战技术电子书  ⑤ 最权威CISSP 认证考试指南 题库  ⑥ 超1800页CTF实战技巧手册  ⑦ 最新网安大厂面试题合集(含答案)  ⑧ APP客户端安全检测指南(安卓 IOS)

3.2.2链接跳转当点击邮箱内钓鱼链接时,首先会进入链接邮箱服务器界面,如下图所示:

湖北事业单位联考学校(针对企事业单位及高校的邮件钓鱼爆发)(7)

该功能主要为根据邮箱后缀加载对应公司logo及背景,若无法识别,则使用默认界面,如下表所示:

湖北事业单位联考学校(针对企事业单位及高校的邮件钓鱼爆发)(8)

然后将邮箱进行base64加密后进行传参,并预先填充邮箱,如下图所示:

湖北事业单位联考学校(针对企事业单位及高校的邮件钓鱼爆发)(9)

3.2.3账密获取当网页跳转到如下链接时,会进入对应的钓鱼页面。该网页的主要作用是填写邮箱的密码,邮箱已经填入其中且无法进行修改。

湖北事业单位联考学校(针对企事业单位及高校的邮件钓鱼爆发)(10)

当输入第一次密码时会提示“服务器响应:密码错误“,需要再次进行填写密码。

湖北事业单位联考学校(针对企事业单位及高校的邮件钓鱼爆发)(11)

当再次填写密码时,会显示正在更新中,并重定向回邮件,最后跳转到受害者所在公司的官网,如下图所示。推测填写两次密码是该组织的过滤校验方式,判定填写内容是否为真正密码,即两次密码相同则判定密码为真实密码。

湖北事业单位联考学校(针对企事业单位及高校的邮件钓鱼爆发)(12)

湖北事业单位联考学校(针对企事业单位及高校的邮件钓鱼爆发)(13)

湖北事业单位联考学校(针对企事业单位及高校的邮件钓鱼爆发)(14)

四、 关联分析

4.1版本信息通过关联分析,发现该组织使用主域名资产时间从前到后如下所示,域名服务均绑定在同一ip:157.52.230.252上:

  1. mail-com.al
  2. mail-cn.al
  3. umail.com.es
  4. mal.com.es

涉及的潜在受害者截至6月8日已发现累计1600余条相关钓鱼域名,其中钓鱼域名根据时间的增长量如下图所示,可以发现该组织上半年十分活跃,详细情况参见附录-文件。

湖北事业单位联考学校(针对企事业单位及高校的邮件钓鱼爆发)(15)

通过仿冒域名统计该组织发送钓鱼邮件可能存在的部分受害者如下所示:

湖北事业单位联考学校(针对企事业单位及高校的邮件钓鱼爆发)(16)

发现受害者主要集中在公司集团、大学学院以及事业单位等,具体占比分布如下:

湖北事业单位联考学校(针对企事业单位及高校的邮件钓鱼爆发)(17)

4.2溯源信息

在钓鱼网站跳转时,从源码中的一段注释发现端倪,与实际执行功能代码做对比,疑似为测试代码,如下图所示:

湖北事业单位联考学校(针对企事业单位及高校的邮件钓鱼爆发)(18)

结合之前分析,该处为base64加密的邮箱,此处对其解密如下图所示,解出对应的邮箱为84*******@qq.com。经过分析,该邮箱可能为该黑灰产组织所有,也可能为钓鱼模板设计者所有。

湖北事业单位联考学校(针对企事业单位及高校的邮件钓鱼爆发)(19)

4.3拓线信息通过全网探测可知,该组织除了使用该ip:157.52.230.252进行钓鱼服务外,还布置了其他的服务,其中ip:45.92.193.86用于存储转移相关盗窃的邮箱帐密,如下图所示为每天盗窃的邮箱账密信息,其中不仅包括邮箱帐密,还有登录ip,地址,时间及设备判断,最后的导出状态推测为该组织转移数据使用:

湖北事业单位联考学校(针对企事业单位及高校的邮件钓鱼爆发)(20)

从上面的图中可以推测该组织具有一定的“奋发向上“的精神,国内背景可能性较大,结合其数据库标语,将该组织命名为StrivePhish组织。且笔者进行了邮箱测试,如下图所示,使用伪造邮箱 shiwangrufeng@outlook.com并随机密码zhang123456提交到该钓鱼网页。

湖北事业单位联考学校(针对企事业单位及高校的邮件钓鱼爆发)(21)

果然,在存储后台界面出现测试的邮箱帐密,如下图所示:

湖北事业单位联考学校(针对企事业单位及高校的邮件钓鱼爆发)(22)

经过继续对其进行调查发现,该组织截至发现时已盗窃邮箱帐密记录多达1507条,危害巨大。一旦发现访问相关链接邮箱账密被盗,及时修改密码止损。

湖北事业单位联考学校(针对企事业单位及高校的邮件钓鱼爆发)(23)

附录 - 行动建议威胁处置安全加固,