译者:知道创宇404实验室翻译组
原文链接:https://www.proofpoint.com/us/blog/threat-insight/geofenced-amazon-japan-credential-phishing-volumes-rival-emotet

介绍

自2020年8月以来,Proofpoint的研究人员跟踪了大量的Amazon Japan凭证和信息网络钓鱼活动,这种可疑活动可追溯到2020年6月。这些信息冒充Amazon Japan,暗示接收者需要检查他们的帐户,以确认“所有权”或“更新的付款信息”。单击邮件中的链接后,收件人将进入以Amazon为主题的凭证仿冒登录页面,这些页面收集凭证、个人识别信息(PII)和信用卡号码。这些信息已经被发送到日本的某些组织。这些页面被防护,以确保只有基于日本的收件人才能被带到凭证仿冒页面。

虽然像Amazon这样的流行品牌经常在凭证钓鱼活动中被滥用,但该活动的邮件信息量非常大。这些活动持续不断,每天发送数十万条信息。截至10月中旬,有时一天内收到的信息超过100万条,与Emotet的信息量不相上下。

诱饵和登陆页面

这些信息是精心制作的日语诱饵,提示收件人的信息需要更新或其帐户已被锁定:

  • Amazon.co.jpアカウント所有権の证明(名前,その他个人情报)の确认(“ Amazon.co.jp帐户(姓名和其他个人信息)的所有权证明的确认”)(图1)
  • お支払い方法の情报を更新(“更新的付款方式信息”)(图2)
  • アカウントがロックされたので,ご注意下さい(“请注意,您的帐户已被锁定”)(图3)

图1:带有主题的诱惑,“确认Amazon.co.jp帐户的所有权证明(名称和其他个人信息)”

图2:带有主题的诱饵,“更新的付款方式信息”

图3:带有主题的诱饵,“请注意您的帐户已被锁定”

邮件中的图片,比如Amazon的logo,都是从免费的图片托管服务中热链接而来的,同样的图片网址已经在多个活动中被观察到。

这些信息声称来自Amazon,尽管它们的电子邮件地址伪装的不太好,例如以下示例:

  • rmlirozna[@]pw[.]com
  • fwgajk[@]zfpx[.]cn
  • info[@]bnwuabd[.]xyz
  • dc[@]usodeavp[.]com

到2020年10月初,他们在努力使发件人地址看起来合法:

  • amaozn[@]ama2on[.]buzz
  • accout-update[@]amazon[.]co.jp
  • account-update[@]amazon[.]com
  • admin[@]amazon-mail[.]golf

在检查消息的URLs时,我们看到它们包含OpenID的参数(图4),这是Amazon Japan使用的身份验证协议。这些URL似乎没有将用户带到OpenID实现中,但是URL字符串中的参数看起来更合法。

我们确定了一些URL中的占位符值,这表明有些消息可能过早发送,或者相应的值不可用(图4)。

图4:带有BRECEIVER_ADDRESS和BRAND_TEXT变量的URL

他们在某些URL中使用了一个占位符电子邮件地址“a@b.c”(图5)。在观察到的其他URL中,收件人电子邮件地址用来填充此参数。

图5:URL用a@b.c和OpenID路径代替变量

单击后,消息中的geofenced链接会将用户带到一个冒充的Amazon Japan登录页面(图6),如果用户看起来不在日本,则转到实际的Amazon Japan登录页面。

图6:欺骗的Amazon Japan登录页面

使用Amazon用户名和密码“登录”后,该用户将被带到一个表单,该表单收集各种PII,例如地址,生日和电话号码(图7)。

图7:网络钓鱼登陆页面,要求用户的国家,名称,生日,邮政编码,县(州),街道地址,商户名称(可选)和电话号码

该表单还收集信用卡号(通过在同一站点上托管的脚本进行松散地验证)和邮政编码(通过对第三方服务的API调用进行验证)(图8、9)。有趣的是,虽然我们提供的邮政编码不是合法的日语邮政编码,但是在提交信息时未返回任何错误。

图8:指示最初提供的信用卡号(长度错误的随机数字字符串)无效

图9:截取的流量说明了对“zipcloud.ibsnet[.]co.jp”的调用以进行邮政编码验证,以及对“/ap/actions/validate?cxdi=”的调用以进行信用卡号验证。

提交有效信息后,告知用户现在可以访问帐户,并重定向到amazon.co[.]jp的真实Amazon Japan网站。

图10:提交后页面通知用户可以访问帐户

信息量

图11:信息量,2020年8月至10月

自8月中旬以来,Proofpoint一直在跟踪这些消息,目前已经确定这与2020年6月的活动是同一个组织。尽管消息以日语显示,并且登录页面已设置为日语IP地址,但除了位于日本的业务以外,收件人或行业之间没有明确的模式。在未来几个月中,邮件量可能会继续增加。

Month Average Message Volume Per Day
August (from 8/18-8/30) 122,000
September 424,000
October (to date) 750,000

基础设施

通常,凭据仿冒登录页是一个IP地址,后跟“/ap/signin”:

  • hxxp://103.192.179[.]54/ap/signin

很少使用域来代替IP地址:

  • 00pozrjbpm[.]xyz/ap/signin

由于攻击者倾向于为每个活动采用新的IP地址,而不是重用IP地址,因此,数百个IP地址已在多个活动中使用。IP地址属于多种自治系统,在地理位置或提供者之间没有明确的模式。

图12:2020年8月至10月,迄今为止诱饵中使用的IP地址的Top AS名称

使用的域是.xyz或.cn tld,有些域已经在多个活动中观察到。.xyz域名通过GoDaddy注册,而*.cn域名则有一个发起注册商(阿里云计算)。

8月30日-9月5日活动登录页域

Domain Creation Date Registrant Details
00pozrjbpm[.]xyz 2020-04-24 Registrant State/Province: Xiang Gang(Registrant Country: CN)
1mmmms2jy8[.]xyz 2020-06-14 Registrant State/Province: Xiang Gang(Registrant Country: CN)
4lz1qen0ls[.]xyz 2020-06-14 Registrant State/Province: Xiang Gang(Registrant Country: CN)
5b0rnizmhn[.]xyz 2020-04-24 Registrant State/Province: Xiang Gang(Registrant Country: CN)

虽然这些域的注册者数据在我们检查的时候已经被编辑过了,但是我们发现了“创建日期”和几个注册者详细信息字段之间的共性。

9月6-12日活动登录页域

Domain Creation Date Registrant Details
00pozrjbpm[.]xyz 2020-04-24 Registrant State/Province: Xiang Gang;Registrant Country: CN
jiyingkou[.]cn 2019-09-20 Registrant: 王帅国;Registrant Contact Email:rxbnn3[@]163[.]com
enjinchang[.]cn 2019-09-19 Registrant: 王帅国;Registrant Contact Email:rxbnn3[@]163[.]com
juhaicheng[.]cn 2019-09-20 Registrant: 王帅国;Registrant Contact Email:rxbnn3[@]163[.]com
getongliao[.]cn 2019-09-20 Registrant: 王帅国;Registrant Contact Email:rxbnn3[@]163[.]com

除了从8月30日至9月5日的活动中的00pozrjbpm[.]xyz之外,9月6日至12日活动的域具有共同的特性。与前面的一组域一样,创建日期和注册者信息表明它们可能以某种方式相关。此外,“rxbnn3[@]163[.]com”是一个多产的域名注册人。除了上面显示的与rxbnn3[@]163[.]com关联的域外,该电子邮件还链接到许多域生成算法:

  • swwkppe[.]cn
  • lmkafwgi[.]cn
  • pdscmkq[.]cn
  • awsmgrc[.]cn

结论

Amazon的品牌通常会受到攻击,但这次活动的数量和持续性使他们与以往Amazon主题的活动有所不同。消息资产、登录页的一致重用和消息量的稳步增长表明,这种活动可能是由僵尸网络驱动的。此外,周末消息量并没有明显的停顿,正如我们有时观察到自动化程度较低的操作。如果这确实是由僵尸网络驱动的,那么消息量不太可能会很快减少。攻击者通常会对其操作进行渐进式的更改,其他的品牌可能是未来几个月攻击者的方向。

IOCs

IOC IOC Type Description
hxxp://182.16.26[.]194/ap/signin URL Amazon Japan credential phish landing page
hxxp://23.133.5[.]144/ap/signin URL Amazon Japan credential phish landing page
hxxp://43.249.30[.]212/ap/signin URL Amazon Japan credential phish landing page
00pozrjbpm[.]xyz/ap/signin URL Amazon Japan credential phish landing page
jiyingkou[.]cn/ap/signin URL Amazon Japan credential phish landing page
enjinchang[.]cn/ap/signin URL Amazon Japan credential phish landing page

Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1374/