事件概述
山石情报团队通过对云上威胁日志遥测发现,一起定向的针对某医药企业的攻击正在悄悄进行,针对钓鱼信息部分分析内容如下,供参考。
钓鱼TTP整体流程如下:
详细分析
在本次事件中,攻击者在钓鱼邮件中使用“紧急通知!”配合仅有一半的图片来吸引用户注意,诱使用户点击该图片,从而触发超链接跳转。
翻看邮件代码可以看到图片链接到”flowcode.com”。
关于 Flowcode
这是一个免费的设计生成二维码的网站,通过该网站生成二维码时,如下图所示该网站同时还会提供一个重定向的链接,将该链接置入邮件中,即可达到绕过安全设备检测的效果。
钓鱼页面
在点击邮件中的图片后,会跳转到以下网站。
重新登录页面
登录页面
资产分析
通过对资产的分析我们可以看到攻击者滥用了上海某云网络科技有限公司的云服务,如登录页ecoambiente.top中给出的备案号:
以及重新登录页面中使用的网址windowsazure.cn:
处置建议
可使用山石网科防火墙和NIPS产品的C2和AV防护模块来防范该风险,请确保将特征库升级至截止20240129的最新版本。山石网科防火墙与态势感知云景可以有效地预警并拦截与此次钓鱼相关的威胁情报(IOC)和恶意行为。
IOC
URI:
-
https://flowcode.com/p/YGmgNUc9A?fc=3D0#a2FpLndhbmdAd3V4aWFwcHRlYy5=jb20=3D
-
https://yhq2kxupp.ecoambiente.top/
-
https://za2fzanhg8wc.ecoambiente.top/
关于山石网科情报中心
山石网科情报中心,涵盖威胁情报狩猎运维和入侵检测与防御团队。 山石网科情报中心专注于保护数字世界的安全。以情报狩猎、攻击溯源和威胁分析为核心,团队致力于预防潜在攻击、应对安全事件。山石网科情报中心汇集网络安全、计算机科学、数据分析等专家,多学科融合确保全面的威胁分析。我们积极创新,采用新工具和技术提升分析效率。团队协同合作,分享信息与见解,追求卓越,为客户保驾护航。无论是防范未来威胁还是应对当下攻击,我们努力确保数字世界安全稳定。其中山石网科网络入侵检测防御系统,是山石网科公司结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如 PCI、等级保护、企业内部控制规范等要求。
原文始发于微信公众号(山石网科安全技术研究院):预警!针对国内医药企业钓鱼攻击
