一、Ena黑产组织发起的钓鱼攻击
黑产组织Ena伪造“您的账户今天过期”为主题发送的钓鱼邮件
图:钓鱼邮件样式1
图:钓鱼邮件样式2
当用户点击“保持当前密码/点击登录”等按钮后,跳转至攻击者搭建的钓鱼网页
图:钓鱼网站
当受害者用户输入账号密码后,发送至攻击者服务器,完成窃密过程。
二、胡萝卜团伙发起的“财务补贴”钓鱼攻击
图:钓鱼邮件
其钓鱼文案主要在附件中展示,如下:
图:附件内容
当用户打开附件后,要求微信扫描二维码,跳转到攻击者设计的钓鱼网页
图:“财务补贴”钓鱼网站
其主要目的是诱导用户输入银行卡账号、密码,短信验证码,从而进行盗刷。
三、境外组织发起的OneDrive文档分享钓鱼
境外组织通过邮箱投递给企业用户分享文档链接,诱导用户打开链接后,网页呈现出PDF、DOCX和XLS三份文档
图:钓鱼页面1
无论用户点击哪一份文档,都将弹出OneDrive登录框
当用户输入完账号密码,将发送至攻击者服务器,完成窃密。通过溯源取证,我们提取了攻击者服务器截图
发现攻击者正在尝试登录窃取企业的outlook邮箱账号密码,且后端在不断发送钓鱼邮件。
IOC情报
可对以下IOC进行封禁
irobotbox-office2022[.]xyz
mjhyr[.]fun
tianan-office2022[.]top
https[:]//www[.]chianoffice2022-enterprisepostoffice[.]top/index.jsp.html
https[:]//www[.]tianan-office2022[.]top/index.jsp.html
http[:]//194[.]41[.]36[.]66//index.jsp.htm
https://storageapi[.]fleek[.]co/