邮件钓鱼背后操控的缅北魔方G组织

 

今年上半年,通过对涉诈网址、应用的攻防手段分析,我们发现了三大黑灰产组织,包括为东南亚线上博彩平台提供技术、支付通道的境外博彩联盟和中国某地区B**N集团,以及针对中国大陆企业进行精准邮件钓鱼的缅北魔方G团伙。这些组织是诈骗产业上游技术供应链,使用的攻击行为隐蔽,识别难度大。

 

盘踞在中国境内的“B**N集团” 为东南亚博彩产业提供核心技术支撑

今年6月,我们监测到部分涉诈、涉赌网站通过专属浏览器的方式跳过域名的拦截策略。深入分析后,发现该攻防浏览器背后产业可能是以中国某地区的B**N集团为技术核心,为东南亚博彩集团、“杀猪盘”提供应用定制开发,实现躲避网络安全厂商、执法机构的识别拦截,东南亚博彩集团、诈骗团伙进行平台运营,最终面向中国境内开展博彩、杀猪盘等活动。

图-诈骗网站提供的网址不能访问解决方案

初觉:黑灰产攻防浏览器背后的开发者

在一些博彩和杀猪盘网站中,为方便用户访问,都会引导其下载指定浏览器。以*宇浏览器以主,也存在部分与博彩平台同名的专属浏览器。与传统的通过布置多条服务器节点、多个域名,用户手动选择最新未拦截博彩网址的方式相比,专属浏览器的方式更加的“智能化”,“使用了独家线路加速技术,解决无法访问、被劫持、跳转非法网页问题”,降低了域名被拦截的风险。由于其无痕模式,也增加了取证研判的难度。

其中*宇浏览器,通过其包名、签名特征分析,推测应用开发者是位于中国某地区的B**N集团。通过360安全大脑,发现其证书信息涉及应用上万个,其名称类型大致分为博彩、直播、浏览器,其中还包括专用字样,可以看出这些浏览器都是为博彩平台定制开发的。

图-博彩网站推荐使用专属浏览器引流页面

溯源:为东南亚博彩提供技术支撑的团伙画像逐渐清晰

B**N集团开发的过万个应用中,部分包名含demo、test,推测为测试包。

应用逆向分析后,发现作者来源于中国某地区,签名中城市信息相吻合。

疑似该作者开发的博彩代理应用demo,包名为*bet.agent.*,应用指向*bet.com,根据关键词搜索发现,指向多个博彩网站,说明该应用是一个博彩代理APP。

通过这批应用流转地址及关联节点来看,境外节点中以菲律宾、缅甸、柬埔寨数量最多,其中菲律宾、柬埔寨的节点中还发现了其他的博彩信息,说明该批应用的实际运营者位于菲律宾、缅甸、柬埔寨。

综上,清晰的描绘出了,为东南亚博彩集团、杀猪盘提供应用定制开发服务的诈骗团伙产业技术核心——B**N集团。

 

钓鱼邮件攻击背后的“缅北魔方G”组织

2021年9月,开始频繁出现冒充公司给员工发工资补贴邮件进行诈骗的新闻。今年5月,360手机卫士收到用户反馈,其收到“关于发布最新工资补贴通知,请打开附件查收!”的邮件,扫码访问邮件中的二维码,并按照提示填写姓名、电话号码、银行卡号、验证码后,资金被盗刷。

这些邮件使用的钓鱼页面与虚假ETC短信钓鱼网站在界面、功能上相似,随着研究深入,我们发现这些钓鱼网站背后是位于缅北的黑灰产团伙,其开发了冒充工资补贴、ETC、社保、医保等钓鱼网站,并通过短信群发、邮箱群发等方式进行引流。鉴于此种引流方式大多使用**魔方工具进行数据清洗,我们将此类攻击行为统称为“缅北魔方”。同时本次发现的组织在钓鱼中使用的中转域名均为site*.g*.r*,基于此将其命名——“缅北魔方G”组织。

“缅北魔方G”攻防特点

从涉诈域名来看,其主要是通过Cname的方式解析至site01.g*.r*,解析的18个中国某地区服务器,最早解析时间为2021年12月,最近解析时间为2022年5月,说明该黑产团伙从2021年12月已开始实施攻击行为。根据域名的上线时间,我们发现诈骗团伙十分谨慎,域名在传播前才上线,从而降低域名过早外露导致被拦截。

Cname至site01.g*.r*的域名达500+,其中xyz、uho的域名使用的最多达400+,并生成不同的钓鱼子域名,内容是冒充ETC、冒充国家医疗保障局。

通过g*.r*域名解析记录来看,其2022年使用的子域名过百个,使用的服务器IP超过10个,域名服务器分布在阿根廷、美国等地。其中可能用于做域名解析跳转的子域名共9个,其特点是子域名为site*,IP均指向中国某地区。

从攻防手段来看,“缅北魔方”组织,使用了多级域名轮换进行域名防护和隐藏自身,但相较于缅北其他的诈骗组织使用的攻防手段,缺少了使用CDN对服务器IP的保护。

钓鱼邮件攻击路径分析

主要是先向某些员工(特别是财务人员)发送含钓鱼网址的钓鱼邮件,通过伪装的网站页面,引导该员工在页面中填写邮箱账号和密码,进而利用该员工的邮箱向企业内部群发钓鱼邮件。

从钓鱼邮件的攻防手段来看,网址二维码进行了UA检测,限制使用手机端访问,否则不显示内容。使用的多级跳转、子域名轮换、框架嵌套等技术,很难及时识别并拦截。

从目前掌握的情报来看,推测“缅北魔方”组织通过搜索引擎、商业信息服务平台批量检索并爬取了大量的企业邮箱。由于这些企业邮箱的特点是公网可以访问,其盗取到财务的邮箱密码后,冒充财务向企业内部发送钓鱼邮件。目前被攻击的企业类型可能涉及通讯、保险、餐饮、纺织、可再生能源、大学、住宅物业等多个行业。

 

继包网平台之后,出现博彩平台新技术、渠道商

360手机卫士安全攻防团队在研判一款名为恒*的博彩APP时,发现其有别于常见的博彩应用,无注册入口,页面在线客服也不直接提供注册入口,而是引导赌客通过搜索引擎寻找注册入口,根据搜索结果页跳转的博彩导航平台入口进行注册。汇总这些博彩导航页面后发现其页面标题多包含联盟字样,例如多*联盟、凤*联盟,跳转的博彩注册链接含有特定的博彩返点参数。推测此类博彩平台背后可能存在一个集博彩平台开发、支付通道、游戏接口、挂机应用、跑分平台、担保中心、色情推广于一身——博彩联盟产业。

博彩平台隐藏注册入口,通过搜索引擎、色情网站引流

恒*APP打开后,界面中的“跑分”关键词,由于没有注册入口,很难将其与博彩平台相关联,会误以为是跑分应用。通过360安全大脑对APP分析,发现其为封装WEB类APP,并使用了博彩平台常用的CDN平台,进一步证实其为博彩类应用。

图-博彩网站首页

相较于常见的博彩平台,页面除了彩票、真人、棋牌、电竞等博彩板块外,还多了奖源认证和托管跑分:

奖源认证:多*联盟的会员认证入口,其页面内容介绍“恒*为多*联盟认证钻石级会员,已缴交100万保证金”,从而让赌客相信赌博平台不会“跑路”。

托管跑分:点击页面中的犀*、金**富,则跳转至跑分平台,并在页面发现了其使用的三种跑分方案。在对犀*和金*财富的上游引流页分析时,发现其除通过博彩平台引流外,还在色情网站进行引流,且通过色情平台进行赔付承保。

图-黑灰产平台关于跑分项目介绍

博彩平台背后的技术、支付承兑商

在多*联盟的会员功能介绍,包含*支付、**娱乐、k**棋牌、**挂机、**统计等多种产品,可以看出是为博彩平台提供了支付接口,增强其产业洗钱通道。

通过以上的分析,博彩联盟产业主要包含博彩平台、博彩联盟平台、色情网站、赌客/跑分客几个部分:

博彩联盟为博彩平台提供技术、支付通道,是整个产业的核心,同时通过博彩网站、色情网站为其推广旗下跑分平台,增强自身的支付通道及洗钱能力。

博彩联盟、博彩平台、推广平台相互间通过押金方式进行约束。

博彩平台不直接展示注册入口,通过博彩联盟进行SEO,或依托博彩代理的推广页拉新,实现双方佣金结算。

(完)