針對企事業機關及高校的郵件釣魚爆發，至少千人已中招

一、概述

據監測發現，近期出現大批量針對國内企業、高校和事業機關等進行大規模專業的郵件釣魚事件，經過分析，該事件為典型的國内郵箱竊密的黑灰産組織，将之命名為StrivePhish組織，具體分析如下：

• 該組織主要針對國内公司企業、高校和事業機關，屬于典型的“廣撒網，多撈魚”模式，涉及範圍極廣，群發内嵌釣魚連結的郵件進行郵箱賬号密碼竊取；
• 該組織使用特定的釣魚連結進行針對性攻擊，釣魚域名為組合域名，即使用接收郵件人員所在公司的官網加上該組織域名資産而來，目的是增加釣魚連結可信度，提高釣魚成功率；
• 該組織已将查詢目标賬戶，申請域名，綁定釣魚服務和發送郵件等一系列攻擊鍊路形成模闆化和自動化流程，根據監控發現該組織的釣魚目标最高增長量在600條以上；
• 關聯發現，該組織最早于2022年5月13号開始活躍，且通過其背景資料推斷，至少已擷取1500多條對應的賬戶密碼，危害十分巨大；
• 通過對相關樣本、IP 和域名的溯源分析，提取多條相關 IOC ，可用于威脅情報檢測。

二、 團夥分析

2.1團夥畫像

2.2資産特點

通過分析發現，該組織資産釣魚郵件中的釣魚連結如下圖所示，主要有四部分構成，分别是接收郵件的受害者官網、該組織的資産、參數以及指定的郵箱賬戶。

通路該釣魚連結後會如下圖所示，該組織通過這種惡意域名下拼接官網域名的方式增加釣魚連結的可信程度，進而進一步誘導騙取郵箱密碼。

三、 事件分析

3.1基本資訊

該黑灰産組織針對國内公司企業、高校和事業機關等進行釣魚詐騙活動。根據已有線索進行分析推斷，該組織的攻擊流程如下圖所示，并根據該組織活動規律及資産線索判斷，該流程已形成模闆化，進行自動分發釣魚服務，具體如下：

1. 确立目标進行釣魚；
2. 通過公網或其他黑産資料集收集目标企業的潛在使用者郵箱；
3. 在該組織擁有的域名下使用目标企業的官網域名來拓展子域名，形成釣魚連結；
4. 使用郵件模闆并内嵌生成的釣魚連結生成釣魚郵件；
5. 發送釣魚郵件給潛在使用者；
6. 潛在使用者送出相關郵箱賬密到背景；
7. 背景收集并存儲送出的受害者賬密；
8. 擷取郵箱賬密後繼續進行其他的違法犯罪活動。

3.2詳細分析

3.2.1郵件投遞該黑灰産組織構造指定的釣魚郵件發送至受害者郵箱，郵件正文中謊稱舊版郵件系統遷移確定郵箱賬戶是否正常登入的方式誘導受害者點選其中的連結。其中附件為随機的字元串組合，推測為随機爬取的内容。該組織利用自身資産的域名下的子域名來模仿受害者官方正規郵箱網站，降低受害者的警惕心理，進而為後期騙取賬密提供幫助。

　　【----幫助網安學習，需要網安學習資料關注我，私信回複“資料”免費擷取----】

　　① 網安學習成長路徑思維導圖

　　② 60+網安經典常用工具包

　　③ 100+SRC漏洞分析報告

　　④ 150+網安攻防實戰技術電子書

　　⑤ 最權威CISSP 認證考試指南+題庫

　　⑥ 超1800頁CTF實戰技巧手冊

　　⑦ 最新網安大廠面試題合集（含答案）

　　⑧ APP用戶端安全檢測指南（安卓+IOS）

3.2.2連結跳轉

當點選郵箱内釣魚連結時，首先會進傳入連結接郵箱伺服器界面，如下圖所示：

該功能主要為根據郵箱字尾加載對應公司logo及背景，若無法識别，則使用預設界面，如下表所示：

然後将郵箱進行base64加密後進行傳參，并預先填充郵箱，如下圖所示：

3.2.3賬密擷取

當網頁跳轉到如下連結時，會進入對應的釣魚頁面。該網頁的主要作用是填寫郵箱的密碼，郵箱已經填入其中且無法進行修改。

當輸入第一次密碼時會提示“伺服器響應：密碼錯誤“，需要再次進行填寫密碼。

當再次填寫密碼時，會顯示正在更新中，并重定向回郵件，最後跳轉到受害者所在公司的官網，如下圖所示。推測填寫兩次密碼是該組織的過濾校驗方式，判定填寫内容是否為真正密碼，即兩次密碼相同則判定密碼為真實密碼。

四、 關聯分析

4.1版本資訊

通過關聯分析，發現該組織使用主域名資産時間從前到後如下所示，域名服務均綁定在同一ip：157.52.230.252上：

1. mail-com.al
2. mail-cn.al
3. umail.com.es
4. mal.com.es

涉及的潛在受害者截至6月8日已發現累計1600餘條相關釣魚域名，其中釣魚域名根據時間的增長量如下圖所示，可以發現該組織上半年十分活躍，詳細情況參見附錄-檔案。

通過仿冒域名統計該組織發送釣魚郵件可能存在的部分受害者如下所示:

發現受害者主要集中在公司集團、大學學院以及事業機關等，具體占比分布如下：

4.2溯源資訊

在釣魚網站跳轉時，從源碼中的一段注釋發現端倪，與實際執行功能代碼做對比，疑似為測試代碼，如下圖所示：

結合之前分析，該處為base64加密的郵箱，此處對其解密如下圖所示，解出對應的郵箱為84*******@qq.com。經過分析，該郵箱可能為該黑灰産組織所有，也可能為釣魚模闆設計者所有。

4.3拓線資訊

通過全網探測可知，該組織除了使用該ip：157.52.230.252進行釣魚服務外，還布置了其他的服務，其中ip：45.92.193.86用于存儲轉移相關盜竊的郵箱帳密，如下圖所示為每天盜竊的郵箱賬密資訊，其中不僅包括郵箱帳密，還有登入ip，位址，時間及裝置判斷，最後的導出狀态推測為該組織轉移資料使用：

從上面的圖中可以推測該組織具有一定的“奮發向上“的精神，國内背景可能性較大，結合其資料庫智語，将該組織命名為StrivePhish組織。且筆者進行了郵箱測試，如下圖所示，使用僞造郵箱 [email protected]并随機密碼zhang123456送出到該釣魚網頁。

果然，在存儲背景界面出現測試的郵箱帳密，如下圖所示：

經過繼續對其進行調查發現，該組織截至發現時已盜竊郵箱帳密記錄多達1507條，危害巨大。一旦發現通路相關連結郵箱賬密被盜，及時修改密碼止損。

附錄 - 行動建議

威脅處置

• 當點選該類似釣魚網站送出過郵箱密碼時，請立即進行修改密碼，新密碼需使用10位以上由數字、大小寫字母和特殊符号的複雜密碼，并養成定期更換密碼的習慣；
• 内部核查被盜郵箱發送給其他郵箱的情況，避免進一步傳播；
• 對該釣魚域名及ip進行及時封堵。

安全加強

• 對于個人而言，不接受陌生的郵件，不點選陌生的郵件連結，不在不可信網站上輸入郵箱賬密；
• 對于企業而言，公司需要建立件安全系統，比如使用電子郵件安全網關，過濾釣魚郵件，還需要定期對員工進行安全教育訓練。建立完善機制督促員工養成不使用弱密碼以及定期修改密碼的習慣，以減輕郵箱被盜風險。