0x00 背景概述

2022年4月中旬，客户反馈收到以工资补贴相关为诱饵的钓鱼邮件。邮件附件为doc文档，其中包含一个二维码（如下图所示）。扫描二维码后，将跳转到钓鱼链接：http：//*. kjhdf[.]uno/（如http：//546a2cd984338f4ec6091d63c394be61.kjhdf[.]uno/） 。根据调查，发现攻击者使用的发件邮箱是之前通过钓鱼获取到的真实邮箱地址，因此极具迷惑性，更易让内部人员中招。

根据奇安信威胁情报中心的持续跟踪，推测该钓鱼活动可能于2021年12月底左右开始。自活动开始以来，约有6000个域名被用于攻击中。目前该钓鱼活动还在持续进行中，攻击者仍在不断更新升级系统，更新基础设施。

经过测试，发现扫描二维码后进入钓鱼页面，该页面要求使用手机端打开。钓鱼页面内容仿冒“工资补贴”或“中国***在线认证中心”相关主题。如下图所示：

● 钓鱼页面1（伪造成“工资补贴”）

● 钓鱼页面2（伪造成“中国***在线认证中心” ）

用户根据欺诈页面引导进行操作后，被引导至个人银行卡信息收集页面，收集的信息包括银行卡、姓名、身份证、手机号、有效期、CVN、信用额度、卡内余额等。如下图所示：

用户填写信息后，会进行手机号短信或银行卡验证。如下图：

0x01 拓展分析

钓鱼页面

通过浏览器抓包，对钓鱼页面进行分析，如下：

1.会通过Jump.js判断当前环境是否为移动端，不是则会将页面重定向到pc.html。

2.生成用户Cookie

3.加载配置的后台接口地址：http://api.khjqwe\[.\]uno/

4.向后台发送当前页面信息

5. 获取WebSocket，建立回调方法

0x02 历史活动

根据已有的信息，在网络上检索，发现在3月初，就有很多政府媒体发布过相关诈骗预警。

在2022年2月，某邮件安全厂商也披露过使用该钓鱼模板的活动（https://www.cacter.com/news/672）。

0x03 攻击者基础设施

IP1：45.116.214[.]135

使用本次事件涉及的钓鱼页面http://*. kjhdf[.]uno/关联到的解析IP（45.116.214[.]135）进行扩展和筛选，进一步发现以下域名存在钓鱼风险。最早的注册时间为2022年2月21日。、

Domain	注册时间	最近看到时间
hdesddd.uno	2022-04-13	2022-04-16
vbgwqe.uno	2022-04-13	2022-04-16
kjhdf.uno	2022-04-17	2022-04-18
prdfd.uno	2022-02-21	2022-03-03
xzcvsgqw.uno	2022-04-16	2022-04-16
jhdwqd.uno	2022-04-13	2022-04-16

IP2：47.57.138[.]120

通过钓鱼页面抓包，发现本次钓鱼页面请求域名hdesdd[.]uno和khjqwe[.]uno上的资源。这两个域名均解析至ip（47.57.138[.]120）。因此推测47.57.138[.]120为攻击者控制的基础设施，以操纵钓鱼页面数据（如http://api.khjqwe\[.\]uno//api/getTemplateData.php）和发送手机验证码（如：[http://api.khjqwe\\\[.\\\]uno//api/setCodeCount.php?uid=e51f2076-1bb1-ea30-d59b-4bb7f9111a88）等操作](?uid=e51f2076-1bb1-ea30-d59b-4bb7f9111a88%EF%BC%89%E7%AD%89%E6%93%8D%E4%BD%9C)。

Domain	注册时间	最近看到时间
hdesdd.uno	2022-04-13	2022-04-16
khjqwe.uno	2022-04-15	2022-04-17

域名：*.ganb.run

分析发现域名kjhdf.uno的CNAME为*.ganb.run。ganb.run的注册日期为2021年12月21日。通过对域名ganb.run进一步扩展，发现其相关ip历史曾解析到的域名大部分符合该钓鱼活动特征。例如域名的CNAME为*.ganb.run，并且多以*.fun、*.pro、*.uno、*.club、*.ink、*.sbs、*.xyz的形式出现。

多源扩展到的*.ganb.run相关解析IP：

● 103.118.40.161（中国香港）

● 47.57.11.87（中国香港）

● 156.234.168.76（中国香港）

● 45.116.214.135（中国香港）

● 154.23.134.154（中国香港）

● 27.124.2.112（中国香港）

● 45.129.11.106（中国香港）

利用大数据平台查询到近5个月（2021年12月-2021年4月）来，大约有4000多个域CNAME到ganb.run的子域，涉及830多个顶级域名。其中除近期跟踪到的域名，其余均不能访问。

DOMAIN	**CANME****的域名个数**
site.ganb.run	1
site01.ganb.run	1000
site02.ganb.run	140
site03.ganb.run	40
site04.ganb.run	63
site05.ganb.run	1000
site06.ganb.run	1000
site07.ganb.run	384
site08.ganb.run	448
site09.ganb.run	14
site603.ganb.run	1
总计	4091

其中，有581个（约70%）域名的解析服务器为：ns1.dynadot.com、ns2.dynadot.com。其次有80个（约9.6%）域名的解析服务器为ns2.dnsowl.com、ns1.dnsowl.com、ns3.dnsowl.com。

域名服务器	**解析TPD****个数**	约占比
ns1.dynadot.com<br><br>ns2.dynadot.com	581	0.693317422
ns2.dnsowl.com<br><br>ns1.dnsowl.com<br><br>ns3.dnsowl.com	80	0.095465394
未注册	82	0.097852029
其他	95	0.113365155

对这些域名的注册时间进行分析统计，其中大部分域名在2022年期间注册，占比约为85%。

注册时间	域名个数	约占比
**2021-12-21****后**	709	0.846062053
**2021-01-01****至12-21**	16	0.019093079
**2020****年**	2	0.002386635
**2019****年**	10	0.011933174
2015**年、2016**年	19	0.022673031

在CNAME为*gand.run的条件下，进一步筛选注册时间在2022年，域名服务器为dnsowl.com和dynadot.com的域名，总共有3587条，约占87.7%。

2022年4月下旬

其中，与本次某大型互联网公司中招事件特征完全相符的域名最早注册于2022年4月16日。符合上述条件且在该日期之后解析的域名信息如下，并且均CNAME到site01.ganb.run。这些域名大多数被用于前端的钓鱼。

域名	解析ip	注册时间
hkjkwn.uno	45.116.214.135（中国香港）	2022/4/18 22:02
xmnzxc.uno	45.116.214.135（中国香港）	2022/4/18 22:02
qoiwhas.uno	45.116.214.135（中国香港）	2022/4/18 22:02
mgerrewd.uno	45.116.214.135（中国香港）	2022/4/18 22:02
uoirwqa.uno	45.116.214.135（中国香港）	2022/4/17 21:09
cvjhwqa.uno	45.116.214.135（中国香港）	2022/4/17 21:09
kjhdf.uno	45.116.214.135（中国香港）	2022/4/17 11:03
wqaszx.uno	45.116.214.135（中国香港）	2022/4/17 11:03
vckbhre.uno	45.116.214.135（中国香港）	2022/4/16 0:52

2022年4月上旬

注册时间在4月上旬的钓鱼域名，主要解析至103.118.40.246（中国香港）。

103.118.40.246同样是中国香港的服务器。该ip近期曾被域名3e9f685443d1b75d932bf7ebf2903075[.]npfnwzo.cn解析，该域名格式和访问后页面符合本次活动特征。npfnwzo.cn存在注册人信息，注册时间为2022年2月19日。

2022年5月

103.61.0.110是中国香港的服务器，监测到其大概从2022年4月29日开始被解析至与该活动相关的钓鱼域名。

103.79.54.29（中国香港），监测到其大概从2022年5月11日开始被解析至与该活动相关的钓鱼域名。主要CNAME到site001.ganb.run、site01.ganb.run。

后台API域名

发现符合本次活动特征的多个后台api域名（如下表所示）。这些域名除api.ganbganb.run外，均在3月或4月初注册。并且大多解析至位于中国香港的服务器，同时CNAME至*.ganb.run。而在4月下旬开始，并没有监测到api.*.*的域名解析。跟踪到的api域名也并不会CNAME至*.ganb.run。可以反向推测，在4月下旬后，攻击者对其基础设施的架构进行过调整，将前端和后台进行了拆分，以隐藏后台的api域名。

域名	解析ip	注册时间
api.ganbganb.run	154.38.100.145（中国香港）	2022-02-10 04:16:27
api.klhjsw.fun	47.57.3.168（中国香港）<br><br>47.57.11.87（中国香港）	2022-03-04 14:01:53
api.kgmwa.pro	45.129.11.106（中国香港）	2022-03-06 23:44:22
api.qkwj.pro		2022-03-09 12:54:56
api.peydhgw.uno	103.158.190.187（日本）	2022-03-11 02:43:45
api.yerws.uno	47.57.11.87（中国香港）、<br><br>103.118.40.161（中国香港）	2022-03-26 23:26:42
api.rtyj.fun		2022-04-06 21:21:23

最近活动

近期跟踪，发现比较活跃的攻击者的基础设施。如下：

开始时间	前端	Websocket	后端
2022-04-17	kjhdf.uno等<br><br>（45.116.214.135）	ws://online.hdesdd.uno:2001<br><br>（47.57.138.120）	http://api.khjqwe.uno/（47.57.138.120）
2022-04-23	nfhfwew.uno<br><br>gjkhas.uno<br><br>uyhyjds.uno等<br><br>（45.116.214.135）	ws://online.ituerew.uno:2001<br><br>（47.75.113.220）	http://api.keueqas.uno（47.75.97.38）
2022-04-30	nbgtwdf.xyz等<br><br>（103.61.0.110）
2022-05-11	bbvnsz.xyz等<br><br>（103.79.54.29）		http://api.fgdas.xyz（119.28.14.166）

0x04 总结

综上信息，推测该钓鱼活动可能于2021年12月底左右开始，主要攻击方式为通过欺诈邮件（如伪装成“补贴”、“ETC”等涉及民生相关主题），诱导目标使用手机扫描二维码访问钓鱼页面。钓鱼页面会收集受害者银行卡信息，以进行后续的恶意活动，如骗取钱财。其相关活动在2022年2月底被邮件安全厂商和政府媒体预警披露过。基于上述分析，梳理的钓鱼活动关键节点：

● 2021年12月21日，注册域名ganb.run，开始钓鱼活动

● 2022月2月末，钓鱼活动被邮件安全厂商披露

● 2022年4月下旬，采用新的基础设施架构，通过使用类似*. kjhdf[.]uno（如546a2cd984338f4ec6091d63c394be61.kjhdf[.]uno）的DGA域名钓鱼，*为随机生成的32位字符串。并将进行重要操作（如发送手机验证码、银行卡验证）的api服务器在前端的JS框架配置和调用，以进行隐藏。

目前，该钓鱼活动还在持续进行，攻击者还在不断更新升级系统，更新基础设施。

4月上旬关联到的域名npfnwzo.cn存在注册人信息，注册时间为2022年2月19日。注册信息如下：

注册人：高友恒

注册邮箱：zq50zk@163.com

通过检索，发现该邮件至少关联到200多个域名，这些域名基本都以“*（随机字符串）.cn”出现。

目前奇安信威胁情报中心赋能的全线产品及外部合作伙伴，包括天眼高级威胁检测系统、SOC、态势感知、ICG等，已经支持相关攻击的检测和阻断。

0x05 参考链接

[1] https://www.cacter.com/news/672

本文转载自：奇安信威胁情报中心
原文链接：https://mp.weixin.qq.com/s/qGbwJJ5oGn4tdnFadq0c8g