译者:知道创宇404实验室翻译组
原文链接:https://www.proofpoint.com/us/blog/threat-insight/geofenced-amazon-japan-credential-phishing-volumes-rival-emotet
介绍
自2020年8月以来,Proofpoint的研究人员跟踪了大量的Amazon Japan凭证和信息网络钓鱼活动,这种可疑活动可追溯到2020年6月。这些信息冒充Amazon Japan,暗示接收者需要检查他们的帐户,以确认“所有权”或“更新的付款信息”。单击邮件中的链接后,收件人将进入以Amazon为主题的凭证仿冒登录页面,这些页面收集凭证、个人识别信息(PII)和信用卡号码。这些信息已经被发送到日本的某些组织。这些页面被防护,以确保只有基于日本的收件人才能被带到凭证仿冒页面。
虽然像Amazon这样的流行品牌经常在凭证钓鱼活动中被滥用,但该活动的邮件信息量非常大。这些活动持续不断,每天发送数十万条信息。截至10月中旬,有时一天内收到的信息超过100万条,与Emotet的信息量不相上下。
诱饵和登陆页面
这些信息是精心制作的日语诱饵,提示收件人的信息需要更新或其帐户已被锁定:
- Amazon.co.jpアカウント所有権の证明(名前,その他个人情报)の确认(“ Amazon.co.jp帐户(姓名和其他个人信息)的所有权证明的确认”)(图1)
- お支払い方法の情报を更新(“更新的付款方式信息”)(图2)
- アカウントがロックされたので,ご注意下さい(“请注意,您的帐户已被锁定”)(图3)
邮件中的图片,比如Amazon的logo,都是从免费的图片托管服务中热链接而来的,同样的图片网址已经在多个活动中被观察到。
这些信息声称来自Amazon,尽管它们的电子邮件地址伪装的不太好,例如以下示例:
- rmlirozna[@]pw[.]com
- fwgajk[@]zfpx[.]cn
- info[@]bnwuabd[.]xyz
- dc[@]usodeavp[.]com
到2020年10月初,他们在努力使发件人地址看起来合法:
- amaozn[@]ama2on[.]buzz
- accout-update[@]amazon[.]co.jp
- account-update[@]amazon[.]com
- admin[@]amazon-mail[.]golf
在检查消息的URLs时,我们看到它们包含OpenID的参数(图4),这是Amazon Japan使用的身份验证协议。这些URL似乎没有将用户带到OpenID实现中,但是URL字符串中的参数看起来更合法。
我们确定了一些URL中的占位符值,这表明有些消息可能过早发送,或者相应的值不可用(图4)。
他们在某些URL中使用了一个占位符电子邮件地址“[email protected]”(图5)。在观察到的其他URL中,收件人电子邮件地址用来填充此参数。
单击后,消息中的geofenced链接会将用户带到一个冒充的Amazon Japan登录页面(图6),如果用户看起来不在日本,则转到实际的Amazon Japan登录页面。
使用Amazon用户名和密码“登录”后,该用户将被带到一个表单,该表单收集各种PII,例如地址,生日和电话号码(图7)。
该表单还收集信用卡号(通过在同一站点上托管的脚本进行松散地验证)和邮政编码(通过对第三方服务的API调用进行验证)(图8、9)。有趣的是,虽然我们提供的邮政编码不是合法的日语邮政编码,但是在提交信息时未返回任何错误。
提交有效信息后,告知用户现在可以访问帐户,并重定向到amazon.co[.]jp的真实Amazon Japan网站。
信息量
自8月中旬以来,Proofpoint一直在跟踪这些消息,目前已经确定这与2020年6月的活动是同一个组织。尽管消息以日语显示,并且登录页面已设置为日语IP地址,但除了位于日本的业务以外,收件人或行业之间没有明确的模式。在未来几个月中,邮件量可能会继续增加。
Month | Average Message Volume Per Day |
---|---|
August (from 8/18-8/30) | 122,000 |
September | 424,000 |
October (to date) | 750,000 |
基础设施
通常,凭据仿冒登录页是一个IP地址,后跟“/ap/signin”:
- hxxp://103.192.179[.]54/ap/signin
很少使用域来代替IP地址:
- 00pozrjbpm[.]xyz/ap/signin
由于攻击者倾向于为每个活动采用新的IP地址,而不是重用IP地址,因此,数百个IP地址已在多个活动中使用。IP地址属于多种自治系统,在地理位置或提供者之间没有明确的模式。
使用的域是.xyz或.cn tld,有些域已经在多个活动中观察到。.xyz域名通过GoDaddy注册,而*.cn域名则有一个发起注册商(阿里云计算)。
8月30日-9月5日活动登录页域
Domain | Creation Date | Registrant Details |
---|---|---|
00pozrjbpm[.]xyz | 2020-04-24 | Registrant State/Province: Xiang Gang(Registrant Country: CN) |
1mmmms2jy8[.]xyz | 2020-06-14 | Registrant State/Province: Xiang Gang(Registrant Country: CN) |
4lz1qen0ls[.]xyz | 2020-06-14 | Registrant State/Province: Xiang Gang(Registrant Country: CN) |
5b0rnizmhn[.]xyz | 2020-04-24 | Registrant State/Province: Xiang Gang(Registrant Country: CN) |
虽然这些域的注册者数据在我们检查的时候已经被编辑过了,但是我们发现了“创建日期”和几个注册者详细信息字段之间的共性。
9月6-12日活动登录页域
Domain | Creation Date | Registrant Details |
---|---|---|
00pozrjbpm[.]xyz | 2020-04-24 | Registrant State/Province: Xiang Gang;Registrant Country: CN |
jiyingkou[.]cn | 2019-09-20 | Registrant: 王帅国;Registrant Contact Email:rxbnn3[@]163[.]com |
enjinchang[.]cn | 2019-09-19 | Registrant: 王帅国;Registrant Contact Email:rxbnn3[@]163[.]com |
juhaicheng[.]cn | 2019-09-20 | Registrant: 王帅国;Registrant Contact Email:rxbnn3[@]163[.]com |
getongliao[.]cn | 2019-09-20 | Registrant: 王帅国;Registrant Contact Email:rxbnn3[@]163[.]com |
除了从8月30日至9月5日的活动中的00pozrjbpm[.]xyz之外,9月6日至12日活动的域具有共同的特性。与前面的一组域一样,创建日期和注册者信息表明它们可能以某种方式相关。此外,“rxbnn3[@]163[.]com”是一个多产的域名注册人。除了上面显示的与rxbnn3[@]163[.]com关联的域外,该电子邮件还链接到许多域生成算法:
- swwkppe[.]cn
- lmkafwgi[.]cn
- pdscmkq[.]cn
- awsmgrc[.]cn
结论
Amazon的品牌通常会受到攻击,但这次活动的数量和持续性使他们与以往Amazon主题的活动有所不同。消息资产、登录页的一致重用和消息量的稳步增长表明,这种活动可能是由僵尸网络驱动的。此外,周末消息量并没有明显的停顿,正如我们有时观察到自动化程度较低的操作。如果这确实是由僵尸网络驱动的,那么消息量不太可能会很快减少。攻击者通常会对其操作进行渐进式的更改,其他的品牌可能是未来几个月攻击者的方向。
IOCs
IOC | IOC Type | Description |
---|---|---|
hxxp://182.16.26[.]194/ap/signin | URL | Amazon Japan credential phish landing page |
hxxp://23.133.5[.]144/ap/signin | URL | Amazon Japan credential phish landing page |
hxxp://43.249.30[.]212/ap/signin | URL | Amazon Japan credential phish landing page |
00pozrjbpm[.]xyz/ap/signin | URL | Amazon Japan credential phish landing page |
jiyingkou[.]cn/ap/signin | URL | Amazon Japan credential phish landing page |
enjinchang[.]cn/ap/signin | URL | Amazon Japan credential phish landing page |
本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1374/