By HireHackking in HACKER
· 2 views
概要:“薪資調整”類釣魚郵件激增本週(2023年7月3日~7日),網際思安麥賽安全實驗室(MailSec Lab)觀察到大量新增的“薪資調整”類釣魚郵件攻擊,並做了詳細的風險特徵、攻擊溯源等技術研究與分析,請各企事業單位及時做好相關的防護。
熱點描述:關於此批“薪資調整”類釣魚郵件的典型樣本郵件,如下圖所示:
圖1. 關於薪資調整通知的釣魚郵件
該郵件通過偽造“薪資調整”通知,誘導員工點擊郵件正文中URL超鏈接,從而訪問精心構造的釣魚網站。當員工輸入其郵箱帳號和密碼後,攻擊者將獲得該私人賬戶信息,並可利用該信息成功登陸員工的私人郵件賬戶。
圖2. 點擊超鏈接後訪問的釣魚網站
圖3. 記錄帳號信息,並模擬系統繁忙
專家分析:MailSec Lab的技術專家從源IP、URL鏈接、郵件頭、郵件內容等方面,對此郵件的風險特徵進行了詳盡的技術分析。
l 郵件頭分析:X-Mailer字段此類風險郵件的頭部包含的“X-Mailer”字段值為“Supmailer 38.1.2”。
圖4. 郵件頭部X-Mailer字段展示
X-Mailer字段表明了攻擊者通過Supmailer軟件的38.1.2版本來發送釣魚郵件。 Supmailer是由一家德國公司研發的,用於批量創建和發送廣告郵件的軟件。該軟件的官方網站是“https://int.supermailer.de/”。該文件頭字段表明郵件發送者通過使用Supmailer軟件群發釣魚郵件,而非正常使用Outlook, Foxmail等郵件客戶端發送郵件。
圖5. Supmailer官方網站
圖6. Supmailer廣告郵件群發軟件界面截圖
l 郵件頭分析:源IP字段通過對郵件頭字段的分析可知,在該釣魚郵件到達公司之前,分別先後經過了221.235.220.134和218.70.153.165兩跳IP地址。
圖7. 郵件頭部源IP字段展示
查詢覆蓋全球的91個RBL數據源,檢測結果如下。兩個外部IP地址被列入了多達10多個的RBL黑名單。
序列號URL/IP被列為黑名單的RBL名稱1
218.70.153.165
Anonmails DNSBL
2
BARRACUDA
3
Sender Score Reputation Network
4
SORBS SPAM
5
Spamhaus ZEN
6
UCEPROTECTL2
7
TRUNCATE
8
UCEPROTECTL3
9
221.235.220.134
RATS NoPtr
10
Spamhaus ZEN
11
UCEPROTECTL2
12
UCEPROTECTL3
l URL超鏈接分析對URL鏈接的Whois信息進行查詢。該網站於1個多月前建立(2023年5月22日),並且服務器位於香港,因此不用進行公安註冊。此類新建設且未進行公安部註冊的網站大概率被用於發起黑客攻擊。
圖8 郵件中URL鏈接的Whois信息
對該IP進行域名反查,可得知該IP地址下共服務了42個域名,其中有近20個域名被威脅情報識別為惡意域名。由此可見,該IP下的服務器被攻擊者用於批量建設釣魚網站。
圖9. 同一個IP下有近20個惡意域名
並且該URL超鏈接的域名被知名威脅情報也列為惡意域名:
圖10. 該域名被威脅情報列為惡意域名
郵件正文中URL鏈接格式如下:https://mail-al.cn/#contact@
Recommended Comments