一般信息
2023 年 8 月 10 日,政府计算机应急响应小组 CERT-UA 记录了政府机构之间大量分发的钓鱼电子邮件,主题为“[CERT-UA#5086] 怀疑登录到您的邮箱”,据称是代表CERT-UA 使用国家特殊通信局的标志。
上述电子邮件包含更改密码的请求以及模拟 Roundcube 软件 Web 界面的 Web 资源链接。
如果单击链接并输入身份验证数据,登录名和密码将使用 HTTP POST 请求发送给攻击者。
这次,假冒网络资源是使用免费的 InfinityFree 服务创建的;此外,还使用了子域 mlcrosoft.rf[.]gd,这可能应该模仿 Microsoft 服务。
活动由 UAC-0170 跟踪。
顺便说一句,为了减少实施威胁的可能性,我们提醒您需要使用基于移动应用程序的一次性代码的多重身份验证。
网络威胁指标
网络
185[.]27.134.129 (@ifastnet.com;英国)
185[.]88.153.138 (已接收)
hXXps://mlcrosoft.rf[.]gd/mail/?el=3c6d0a4516de3b6a89b373f0d8d6de4cc081154fc3680efbe7b9f9d1
hXXps://mlcrosoft.rf[.]gd/mail/?el=4ef85906f8a881986a3f05fbb699ab0d6096919c73553dbb93c906d6
hXXps://mlcrosoft.rf[.]gd/mail/?el=7247301f1ba605aa98c5b2194819f558986e5d89467041b0da78a04c
hXXps://mlcrosoft.rf[.]gd/mail/inf.php
hXXps://mlcrosoft.rf[.]gd/mail/script.js
hr.damroodi@beroozresaan.com
soraya@tataguyz.co.za
mlcrosoft.rf[.]gd图形图像
转载来源:https://cert.gov.ua/article/5455833
图片来源网络侵权可联系删除
