2022年十月份钓鱼威胁情报

一、Ena黑产组织发起的钓鱼攻击

黑产组织Ena伪造“您的账户今天过期”为主题发送的钓鱼邮件

图：钓鱼邮件样式1

图：钓鱼邮件样式2

当用户点击“保持当前密码/点击登录”等按钮后，跳转至攻击者搭建的钓鱼网页

图：钓鱼网站

当受害者用户输入账号密码后，发送至攻击者服务器，完成窃密过程。

二、胡萝卜团伙发起的“财务补贴”钓鱼攻击

图：钓鱼邮件

其钓鱼文案主要在附件中展示，如下：

图：附件内容

当用户打开附件后，要求微信扫描二维码，跳转到攻击者设计的钓鱼网页


图：“财务补贴”钓鱼网站

其主要目的是诱导用户输入银行卡账号、密码，短信验证码，从而进行盗刷。

三、境外组织发起的OneDrive文档分享钓鱼

境外组织通过邮箱投递给企业用户分享文档链接，诱导用户打开链接后，网页呈现出PDF、DOCX和XLS三份文档

图：钓鱼页面1

无论用户点击哪一份文档，都将弹出OneDrive登录框

当用户输入完账号密码，将发送至攻击者服务器，完成窃密。通过溯源取证，我们提取了攻击者服务器截图

发现攻击者正在尝试登录窃取企业的outlook邮箱账号密码，且后端在不断发送钓鱼邮件。

IOC情报

可对以下IOC进行封禁
irobotbox-office2022[.]xyz
mjhyr[.]fun
tianan-office2022[.]top
https[:]//www[.]chianoffice2022-enterprisepostoffice[.]top/index.jsp.html
https[:]//www[.]tianan-office2022[.]top/index.jsp.html
http[:]//194[.]41[.]36[.]66//index.jsp.htm
https://storageapi[.]fleek[.]co/
1
2
3
4
5
6
7
8