一/仿冒官网钓鱼活动
针对北京某大学进行钓鱼
受害者访问钓鱼网站时,钓鱼网站会提示“您的邮箱登录超时,已退出,请重新登录.”弹窗。
钓鱼网站弹窗
钓鱼网站弹窗网页源码
无论受害者是否点击确认按钮均将正式跳转到攻击者仿冒的邮箱上岸网站
钓鱼网页
当受害者输入账号密码进行登录后,钓鱼网站便会将账号密码信息回传至钓鱼后台,随后钓鱼后台便会将网页跳转到"https://yuruhjnmkfd7.000webhostapp.com/buct/action.php"
跳转url
跳转网站
某航天集团
受害者访问钓鱼网站时,钓鱼网站会显示某航天集团的电子邮件上岸网页,随后跳转到二维码上岸页面。
钓鱼网站
钓鱼网站登录页面
跳转链接
跳转网站
巴基斯坦政府
仿冒真实巴基斯坦政府上岸网站,域名极具迷惑性,当受害者输入账号密码后跳转到”https://webmail-.000webhostapp.com/omp/action.php“
仿冒巴基斯坦政府的钓鱼网站
跳转地址
跳转网页
尼泊尔政府
诱饵文档
仿冒尼泊尔大使馆的钓鱼页面
跳转地址
海内某高校
仿冒高校的钓鱼网站
将账密信息post到本地的“progress.php”存储
存储账密信息的路径
随后跳转到官方上岸页面
跳转网站
二/仿冒邮箱进行钓鱼活动
中国某局
当受害者访问该网站时,先显示诱饵文档《招标公告》,当受害者想看详细信息时弹出登录页面,提示“邮箱会话已过期,请重新登录”,领导受害者输入网易邮箱账号。
仿冒网易邮箱的上岸网站
诱饵文档
当受害者输入邮箱账号后将钓到的信息发送给后台,并跳转到"https://mail--com.000webhostapp.com/Tender_163/a.php"。
跳转网址
跳转网站
伊斯兰堡海军总部
当受害者访问该网站时,先显示诱饵文档《伊斯兰堡海军总部系统和传感器集成项目局》的一封信,当受害者想看详细信息时弹出登录页面,提示“邮箱会话已过期,请重新登录”,领导受害者输入网易邮箱账号。同一个钓鱼诱饵会发给不同受害者。
诱饵文档
诱饵文档
领导受害者输入账号密码:
钓鱼上岸页面
当受害者输入邮箱账号后将钓到的信息发送给后台,并跳转到"https://mail--com.000webhostapp.com/PakNAvy163/a.php"。
跳转url
巴基斯坦国家电子综合体
当受害者访问该网站时,先显示与《NECOP与NAVTEK互助前景》干系主题的诱饵文档,当受害者想看详细信息时弹出登录页面,提示“邮箱会话已过期,请重新登录”,领导受害者输入网易邮箱账号。
诱饵文档
鱼上岸页面
当受害者输入邮箱账号后将钓到的信息发送给后台,并跳转到"https://gov--of-china.000webhostapp.com/NECOP2/a.php"。
跳转url
跳转网站
其他诱饵文档
在日常佃猎过程中创造该组织常常利用尼泊尔或巴基斯坦官方文档作为诱饵进行钓鱼,以下是部分钓鱼诱饵:
诱饵文档
诱饵文档
跳转到000webhost做事器托管的网站:
跳转url
随后跳转提示页面“website no longer available”
跳转网站
钓鱼汇总
该组织攻击目标紧张为中国、尼泊尔以及巴基斯坦等南亚地区的军事、政府、教诲等行业,如下表所示:
钓鱼链接汇总
戒备建议
发件人身份验证:核实邮件的发件人地址和域名,看是否存在拼写缺点、额外字符或数字等假造的迹象,以确认其真实性。
邮件内容剖析:仔细阅读邮件,查找语法缺点、拼写缺点或措辞不顺的问题,钓鱼邮件常日会在措辞或内容上有明显瑕疵。
检讨链接和附件:悬停在邮件中的链接上查看其实际URL地址,确保它们是安全的并与邮件内容干系,避免下载或打开不可信来源的附件。
识别钓鱼网站:确认邮件中的链接是否指向真实、安全的网站,把稳URL中的拼写缺点、额外字符或数字,利用安全工具或在线做事进行验证。
当心暗藏的社交工程:把稳邮件中是否有利用社交工程手腕获取个人信息的企图,攻击者可能伪装高等管理职员或IT支持职员,哀求供应敏感信息或实行危险操作。
监测和报告:建立有效的安全监测机制,及时检测并报告可疑邮件。
亚信安全产品办理方案
亚信安全威胁情报引擎已经全面赋能云安全、端点安全、APT高等威胁防护产品,请升级威胁情报特色库版本至2002.134,特色库更新日期20240712。
亚信安全海豚威胁情报平台(HITIP)检测这次APT钓鱼事宜示例。
信舷防毒墙系统(AE)检测这次APT钓鱼事宜示例。
信桅高等威胁监测系统(TDA)检测这次APT钓鱼事宜示例。
亚信安全DDEI
亚信安全高等威胁邮件防护系统(DDEI)专用来检测和阻挡定向工程邮件所导致的网络攻击及数据泄露。它采取前辈的恶意 软件检测引擎,URL剖析以及文件和Web沙箱技能,可快速识别并阻挡或隔离这些定向工程邮件。
