针对国内医药企业的钓鱼攻击活动披露

2024年 2月 4日 67.4k 0

山石情报团队通过对云上威胁日志遥测发现,一起定向的针对某医药企业的攻击正在悄悄进行,针对钓鱼信息部分分析内容如下,供参考。

钓鱼TTP整体流程如下:

详细分析

在本次事件中,攻击者在钓鱼邮件中使用“紧急通知!”配合仅有一半的图片来吸引用户注意,诱使用户点击该图片,从而触发超链接跳转。

翻看邮件代码可以看到图片链接到"flowcode.com"。

关于 Flowcode

这是一个免费的设计生成二维码的网站,通过该网站生成二维码时,如下图所示该网站同时还会提供一个重定向的链接,将该链接置入邮件中,即可达到绕过安全设备检测的效果。

钓鱼页面

在点击邮件中的图片后,会跳转到以下网站。

重新登录页面

登录页面

资产分析

通过对资产的分析我们可以看到攻击者滥用了上海某云网络科技有限公司的云服务,如登录页ecoambiente.top中给出的备案号:

以及重新登录页面中使用的网址windowsazure.cn:

处置建议

可使用山石网科防火墙和NIPS产品的C2和AV防护模块来防范该风险,请确保将特征库升级至截止20240129的最新版本。山石网科防火墙与态势感知云景可以有效地预警并拦截与此次钓鱼相关的威胁情报(IOC)和恶意行为。

IOC

URI:

https://flowcode.com/p/YGmgNUc9A?fc=3D0#a2FpLndhbmdAd3V4aWFwcHRlYy5=jb20=3D
https://yhq2kxupp.ecoambiente.top/
https://za2fzanhg8wc.ecoambiente.top/

参考链接: https://mp.weixin.qq.com/s/RtfEkpkvNesZagmghFIGxA

图片来源网络目标可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论