山石情报团队通过对云上威胁日志遥测发现,一起定向的针对某医药企业的攻击正在悄悄进行,针对钓鱼信息部分分析内容如下,供参考。
钓鱼TTP整体流程如下:
详细分析
在本次事件中,攻击者在钓鱼邮件中使用“紧急通知!”配合仅有一半的图片来吸引用户注意,诱使用户点击该图片,从而触发超链接跳转。
翻看邮件代码可以看到图片链接到"flowcode.com"。
关于 Flowcode
这是一个免费的设计生成二维码的网站,通过该网站生成二维码时,如下图所示该网站同时还会提供一个重定向的链接,将该链接置入邮件中,即可达到绕过安全设备检测的效果。
钓鱼页面
在点击邮件中的图片后,会跳转到以下网站。
重新登录页面
登录页面
资产分析
通过对资产的分析我们可以看到攻击者滥用了上海某云网络科技有限公司的云服务,如登录页ecoambiente.top中给出的备案号:
以及重新登录页面中使用的网址windowsazure.cn:
处置建议
可使用山石网科防火墙和NIPS产品的C2和AV防护模块来防范该风险,请确保将特征库升级至截止20240129的最新版本。山石网科防火墙与态势感知云景可以有效地预警并拦截与此次钓鱼相关的威胁情报(IOC)和恶意行为。
IOC
URI:
https://flowcode.com/p/YGmgNUc9A?fc=3D0#a2FpLndhbmdAd3V4aWFwcHRlYy5=jb20=3D
https://yhq2kxupp.ecoambiente.top/
https://za2fzanhg8wc.ecoambiente.top/
参考链接: https://mp.weixin.qq.com/s/RtfEkpkvNesZagmghFIGxA
图片来源网络目标可联系删除