不是演练 “毒云藤”再出击,知网用户成钓鱼攻击目标

1c91e9173a79e89080ce7bceffc3aa41.jpeg

亚信安全威胁情报中心近期在梳理安全事件时,发现一起钓鱼攻击活动。该起事件仿冒网易云邮箱进行钓鱼攻击,成功窃取到用户信息后将用户信息post到本地的”login.php”目录下保存,并跳转到正常网站。经分析,判断该行为符合绿斑APT组织攻击手法。


 谁是毒云藤APT组织?

毒云藤——又称绿斑(APT-C-01)、穷奇,主要通过利用互联网暴露的目标和资产作为攻击入口,采用精密社会工程学技术结合漏洞利用手段,通过精心设计的钓鱼邮件等社交工程手法侵入目标系统。

该组织从2007年开始至今,已对中国国防、政府、科技、教育以及海事机构等重点单位和部门进行了长达17年的网络间谍活动,攻击成功后将窃取目标的敏感信息和机密信息或下发木马。该组织擅长仿冒qq邮箱、126邮箱、网易云邮箱进行网络钓鱼,将钓取到的用户信息post到本地目录下进行保存,并下载无毒文件或跳转到正常网站。


钓鱼事件分析

钓鱼诱饵标题:中国知网——CNKI评审专家服务系统

攻击者语言使用习惯:中文简繁混用繁体为主

组件习惯:Apache,ubuntu,PHP

攻击习惯:仿站水坑钓鱼


钓鱼页面

e11709b7ca0060fa4622c4cfefaea9a2.jpeg

钓鱼页面截图

输入用户信息后跳转到”b.html”,将账密信息post到本地的”login.php”,最后跳转到知网登录网站

d0e541b8b76f9b61973bcf3d6984f76b.jpeg

发包截图

有趣的是,输入账号密码后跳转的是知乎登录网站,猜测攻击者在此处跳转没有做好。

7f1ef32a3ebe2c9d3ef8474e7fdf74e1.jpeg

跳转网站

域名p.cnkiserver.net及pcnki.com与真实域名p.cnki.net相似,极具迷惑性,结合诱饵文档、域名特征、域名注册商、拓线关联等特点,判断此次钓鱼目标为教育行业。


拓线

结合url特征拓线关联到历史域名:checked.link-163,该网站当前已失效。

1b5e036c3a73d2c0b0b545f49006b65b.jpeg

拓线过程中发现该组织使用的其他域名log.p-cnki,该网站后续流程与上述文章中一致,此处不进行赘述。

3e96943b4cb0272c72916630f477afd4.jpeg

根据已有数据,我们可以观测到本次攻击发起者域名注册规律存在相似性,注册者与注册地址一致,所以我们可以初步认定该注册信息可以作为威胁情报挖掘标准之一。拓现后如下:

6074dd2960a0921de4f6b058a3618ab0.jpeg

拓线列表

事件总结&亚信安全建议

通过溯源分析发现,域名注册商为Name,通过拓线关联到历史域名,在往期钓鱼过程中通常以“合规承诺函20240626.docx”、“简历.doc”等为诱饵,通过网易云邮箱进行钓鱼。结合以上特征推断此次钓鱼攻击事件为绿斑。

绿斑组织专注于国防军工领域的APT攻击,在较长时期内表现出坚定而持续的攻击决心。相较于其他的apt组织,该组织的独特之处在于主要使用历史漏洞,资源相对匮乏,仅在极少数情况下使用0day漏洞。尽管如此,该组织在社会工程技巧方面展现出强大的能力,擅长通过邮件入口构造与收件人高度相关的内容,通过社会工程手法引导被攻击者打开相关链接或载荷,实施攻击。

亚信安全处置建议

  • 全面部署安全产品,保持相关组件及时更新

  • 保持系统以及常见软件更新,对高危漏洞及时修补

  • 不要点击来源不明的邮件、附件以及邮件中包含的链接

  • 请到正规网站下载程序

  • 采用高强度的密码,避免使用弱口令密码,并定期更换密码

  • 尽量关闭不必要的端口及网络共享


亚信安全产品解决方案

亚信安全威胁情报引擎已经全面赋能云安全、端点安全、APT高级威胁防护产品,请升级威胁情报特征库版本至2002.139,特征库更新日期20240725。亚信安全威胁情报中心海豚平台已能检测此次钓鱼事件,截图如下:

aac0ebcab7fce4e1a9a8dc048d0fc15a.jpeg

信舷防毒墙系统(AE)检测此次APT钓鱼事件示例。

f2c7d3e1bd027fa07a8c7264c8d533f8.jpeg

信桅高级威胁监测系统(TDA)检测此次APT钓鱼事件示例。

a71d9b5ce516be0ca7f4aaf210d8a848.jpeg

亚信安全威胁情报中心

亚信安全威胁情报中心深耕威胁情报领域多年,具备国内一流的威胁情报分析、人工智能及大数据团队,依托公司国际基因与多元化数据来源优势,对全球威胁事件及时跟踪与深度解析。威胁情报中心聚焦实战化、场景化情报,以数据驱动威胁情报运营,使用Ai赋能威胁情报生产、运营全流程,在挖矿治理、网络钓鱼检测、黑客工具检测、勒索治理、勒索泄密点检测等方面处于国内领先地位。威胁情报中心首创威胁情报云端联动小时级响应机制,为客户提供“一点触达、全网免疫”的体验。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/50271.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

React: 条码渲染 渲染列表

一、条件渲染 1、定义:根据不同的情况显示不同的内容(就像vue中的v-if)。 2、在 React 中,可以使用 JavaScript 的 if 语句、&& 和 ? : 运算符来选择性地渲染 JSX。 2.1 使用条件判断(if) export default f…

FastAPI(八十二)实战开发《在线课程学习系统》接口开发-- 课程上架下架

源码见:"fastapi_study_road-learning_system_online_courses: fastapi框架实战之--在线课程学习系统" 课程上架/下架 1、是否登录 2、角色权限 3、课程是否存在 4、是否是自己的课程 4、课程如果是上架状态,则下架,反之&#xff…

【Python第三方库】PyQt5安装与应用

文章目录 引言安装PYQT5基于Pyqt5的简单桌面应用常用的方法与属性QtDesigner工具使用与集成窗口类型QWidget和QMainWindow区别 UI文件加载方式直接加载UI文件的方式显示窗口转化py文件进行显示窗口 PyQt5中常用的操作信号与槽的设置绑定页面跳转 引言 PyQt5是一个流行的Python…

AutoSar中的Spi_SetupEB函数原理与实现

文章目录 一、函数介绍二、项目背景三、函数在AUTOSAR官网中的介绍四、代码实现五、验证六、联调过程中遇到的问题 一、函数介绍 此函数是Autosar标准中的接口,为EB SPI处理器/驱动程序设置缓冲区和数据长度的服务 指定频道。用容易理解的话说就是 设置一下某个通道…

人工智能在教育领域的应用:优势、挑战与未来展望

在数字化时代,人工智能(AI)正以其独特的方式重塑教育的面貌。从课堂互动到个性化学习,再到教学管理,AI技术的应用正变得越来越广泛。本文将深入探讨AI在教育领域的应用,分析其优势、挑战,并展望…

VUE3 el-table-column header新增必填*

1.在需要加必填星号的el-table-column上添加render-header属性 <el-table-column :label"getName(产品代码)" :render-header"addRedStart" prop"MODELCODE" min-width“4.5%”> <template v-slot"scope"> <el-input …

SpringBoot中使用监听器

1.定义一个事件 /*** 定义事件* author hrui* date 2024/7/25 12:46*/ public class CustomEvent extends ApplicationEvent {private String message;public CustomEvent(Object source, String message) {super(source);this.message message;}public String getMessage() …

Cannot find module ‘html-webpack-plugin

当你在使用Webpack构建项目时遇到Cannot find module html-webpack-plugin这样的错误&#xff0c;这意味着Webpack在构建过程中找不到html-webpack-plugin模块。要解决这个问题&#xff0c;你需要确保已经正确安装了html-webpack-plugin模块&#xff0c;并且在Webpack配置文件中…

uniapp手写滚动选择器

文章目录 效果展示HTML/Template部分&#xff1a;JavaScript部分&#xff1a;CSS部分&#xff1a;完整代码 没有符合项目要求的选择器 就手写了一个 效果展示 实现一个时间选择器的功能&#xff0c;可以选择小时和分钟&#xff1a; HTML/Template部分&#xff1a; <picker…

『 Linux 』信号概念与信号的产生 ( 万字 )

文章目录 信号概念前台进程与后台进程信号的本质硬件理解信号的产生Core dump 标志 信号概念 "信号"一词指用来传达信息或只是的各种形式的提示或标志; 在生活中常见的信号例如红绿灯,交通标志,短信通知等 在操作系统中,"信号"是一种用于异步通知进程发生特…

[嵌入式英语]Real Time Clock

zynqmpsoc 开发手册 Real Time Clock 章节 Introduction The real time clock (RTC) unit maintains an accurate time base for system and application software. For high accuracy needs, the RTC also includes calibration circuitry to offset temperature and voltage …

JVM加载一个实现了某个接口

在Java虚拟机&#xff08;JVM&#xff09;加载类和接口时&#xff0c;加载过程本身是由多个线程来完成的&#xff0c;而不是由单个线程完成的。JVM是多线程的&#xff0c;它可以并行加载多个类和接口&#xff0c;以提高加载效率和整体应用程序的性能。 具体来说&#xff0c;JV…

国衍科技——RFID技术的应用

在文物馆藏信息的记录与管理过程中&#xff0c;准确性和详细性是至关重要的。无论是大型博物馆还是私人收藏馆&#xff0c;都需要有效的方法来确保馆藏文物信息的可追溯性和可访问性&#xff0c;才能提供更好的服务和保护馆藏资源。而结合射频识别&#xff08;RFID&#xff09;…

2024年虚拟主机转移教程

转移网站并不困难&#xff0c;但选择正确的选项和最佳程序才是关键。网站托管服务被视为当今数字世界的基石&#xff0c;全球有18 亿个网站。网站所有者可以通过下载备份、将其上传到新服务器并指向域名来手动转移网站。他们还可以通过新网站托管商的助手请求来移动网站。对于初…

华清数据结构day5 24-7-22

1>使用栈&#xff0c;完成进制转换输入&#xff1a;一个整数&#xff0c;进制数输出&#xff1a;该数的对应的进制数 seqstack.h #ifndef SEQSTACK_H #define SEQSTACK_H #define MAX 10 #include"myhead.h" typedef int datatype;typedef struct {datatype *d…

【Tomcat】快速入门

概述 Tomcat是Apache软件基金会一个核心项目&#xff0c;是一个开源免费的轻量级Web服务器&#xff0c;支持Servlet/JSP.少量avaEE规范。Tomcat Tomcat也被称为Web容器、Servlet容器。Servleti程序需要依赖于Tomcat才能运行。 安装使用 下载安装都是绿色版本&#xff0c;解…

Git、Gitlab以及分支管理

分布式版本控制系统 一、Git概述 Git是一种分布式版本控制系统&#xff0c;用于跟踪和管理代码的变更。它由Linus torvalds创建的&#xff0c;最初被设计用于Linux内核的开发。Git 允许开发人员跟踪和管理代码的版本&#xff0c;并且可以在不同的开发人员之间进行协作。 Githu…

全年销售7亿块,巧克力企业如何通过相邻业务打造极致产品力?

蒂罗尔巧克力是日本经典的巧克力品牌。 糖果业务是松尾早期的主营业务&#xff0c;在主营业务下滑的情况下&#xff0c;确立新的竞争方向&#xff0c;通过主营业务优势进入相邻业务&#xff0c;打造新产品成就巧克力极致产品力&#xff0c;避免衰退重回增长。 如何通过进入相邻…

MFC列表框示例

本文仅供学习交流&#xff0c;严禁用于商业用途&#xff0c;如本文涉及侵权请及时联系本人将于及时删除 目录 1.示例内容 2.程序步骤 3.运行结果 4.代码全文 1.示例内容 编写一个对话框应用程序CMFC_Li6_4_学生信息Dlg&#xff0c;对话框中有一个列表框&#xff0c;当用户…

matlab gui下的tcp client客户端编程框架

GUI界面 函数外定义全局变量 %全局变量 global TcpClient; %matlab作为tcpip客户端 建立连接 在“连接”按钮的回调函数下添加以下代码&#xff1a; global TcpClient;%全局变量 TcpClient tcpip(‘192.168.1.10’, 7, ‘NetworkRole’,‘client’); %连接到服务器地址和端…