freedatacenter/threat-intelligence

# 威胁情报报告 来自真实事件调查的公开威胁情报报告和失陷指标 (IOC)。 ## 报告 ### 2026-03-31 — 冒充 Google Workspace 的大规模凭据钓鱼活动 发现一起针对五个国家/地区组织的大规模凭据钓鱼操作。钓鱼邮件冒充 Google Workspace 存储通知，通过被盗用的 Amazon SES 账户发送，利用设置为 DMARC p=NONE 的企业域名进行欺骗。钓鱼链接经过四级重定向——Sophos Email Protection、bit.ly、Google 重定向和一个被盗用的巴西网站——最终到达伪装成 Cloudflare 保护检查的凭据收集页面。该页面从 URL 片段（base64 编码）中提取受害者的电子邮件，并重定向至运行在荷兰 VDSina VPS 上、基于 Laravel 应用程序的 C2 服务器。 **主要发现：** - 滥用合法服务的四级重定向链（Sophos、Google、bit.ly）以逃避 URL 过滤 - 具备反分析功能的钓鱼工具包：阻止 DevTools、右键单击、键盘快捷键；检测到异常时执行紧急重定向 - C2 基础设施：单一 IP (89[.]124[.]98[.]199) 上有 62 个类似 DGA 的 .ru 域名，均使用 DNSPod (Tencent Cloud) 域名服务器 - 三个并行活动 (gbe、sey、5ppp) 共享一个基于 MongoDB 的单一活动面板，该面板自 2025 年 8 月起处于活跃状态 - 受害者涵盖非政府组织、金融服务、政府机构（马来西亚贸易部）、IT 外包和医疗保健行业 - Laravel 后端使用 Cloudflare 反向代理，但通过直接 DNS 解析暴露了源站 IP - 被盗用的 Amazon SES 账户，具有唯一的 Feedback-ID 指纹可用于检测 **文档：** - [事件报告 (英文, TLP:CLEAR)](reports/2026-03-31-gworkspace-phishing/Incident_Report_2026-03-31_EN.pdf) - [事件报告 (俄文, TLP:CLEAR)](reports/2026-03-31-gworkspace-phishing/Incident_Report_2026-03-31_RU.pdf) **IOC：** | 类型 | 值 | |------|-------| | C2 域名 | `crooveazoo[.]ru` | | C2 IP | `89[.]124[.]98[.]199` (AS216071, VDSina NL) | | C2 路径 | `/HeJK!UMT/$` | | 钓鱼主机 | `lasys[.]com[.]br` (被盗用, 69[.]6[.]213[.]189) | | 钓鱼路径 | `/teste/gbe/ccc/`, `/teste/sey/ccc/`, `/teste/5ppp/ccc/` | | 发件人域名 | `ejm[.]org` (被欺骗, DMARC p=NONE) | | SES IP | `54[.]240[.]4[.]15` (Amazon SES eu-west-1) | | bit.ly | `bit[.]ly/4rVLObb`, `bit[.]ly/41muSA5`, `bit[.]ly/4bGmwcs` | | SSH 主机密钥 | `23c5cfe5298cc99c7f7a02e236d6cc9c4fc22e8f85c0d064f45a93c8b92b30b0` | | 备用域名 | 同一 IP 上的 61 个额外 .ru DGA 域名（完整列表见报告） | **MITRE ATT&CK:** T1566.002, T1583.001, T1583.006, T1584.004, T1078, T1608.005, T1027, T1497.001 ### 2026-03-27 — 通过伪造 Cloudflare CAPTCHA 传递 Vidar Stealer 的 ClickFix 社会工程活动 观察到一起使用“ClickFix”技术的社会工程攻击，通过一个被盗用的希伯来语学校网站 传递给用户。该页面显示了一个伪造的 Cloudflare“验证您是人类”对话框，指示受害者以管理员身份打开 PowerShell 并粘贴“验证码”。剪贴板载荷是一个经过 XOR 混淆的 PowerShell 命令（密钥：PuHNJs），用于从 productionmaza[.]cyou 下载并执行基于 Go 的加密器。该加密器使用自定义的 5 轮 XOR/SUB 算法解密嵌入的 Vidar Stealer v1.0 载荷。该窃密器将浏览器凭据、Cookie、Outlook 配置文件和系统信息渗透到托管在 Hetzner 的 C2 服务器，并使用 Telegram 和 Steam 社区个人资料作为备用 C2 地址的死信箱解析器。 **主要发现：** - 三阶段攻击链：ClickFix 社会工程 → 采用自定义加密的 Go 加密器 → Vidar Stealer - Go 加载器“blindcousin”使用 garble 混淆器和 5 轮解密（XOR、SUB、字节交换、反转） - Vidar v1.0，僵尸网络 ID 为 4c0a49bed86cb25165c2f64c7c27c48a，经 Recorded Future Triage 确认（得分 10/10） - C2 位于 78[.]46[.]199[.]184 (Hetzner DE)，具有自签名 TLS 证书，域名为 neugepower[.]net - 死信箱解析器：Telegram 频道 t[.]me/v2ts23m 包含备用 C2 域名 skfilmsint[.]com - Steam 个人资料 76561198724155486 用作额外的死信箱解析器 - 进程注入到 Chrome 和 Edge 浏览器中以窃取凭据 - 目标：Chrome/Edge 的 Cookie 和凭据，Outlook 电子邮件配置文件 (v14.0-16.0)，系统硬件指纹识别 **文档：** - [事件报告 (英文, TLP:CLEAR)](reports/2026-03-27-clickfix-vidar/Incident_Report_2026-03-27_EN.pdf) - [事件报告 (俄文, TLP:CLEAR)](reports/2026-03-27-clickfix-vidar/Incident_Report_2026-03-27_RU.pdf) **IOC：** | 类型 | 值 | |------|-------| | 域名 | `oulpansheli[.]org` (被盗用的登录页, OVH FR) | | 域名 | `productionmaza[.]cyou` (载荷分发, Cloudflare) | | 域名 | `neugepower[.]net` (C2 域名, Hetzner) | | 域名 | `skfilmsint[.]com` (备用 C2, NameCheap/Cloudflare) | | IP | `78[.]46[.]199[.]184` (Vidar C2, Hetzner DE) | | IP | `213[.]186[.]33[.]16` (登录页, OVH FR) | | IP | `172[.]67[.]148[.]28` (Cloudflare 代理, productionmaza) | | IP | `104[.]21[.]55[.]125` (Cloudflare 代理, productionmaza) | | URL | `hxxps://oulpansheli[.]org/ru/` | | URL | `hxxps://productionmaza[.]cyou/api/index.php?a=dl&token=fcdd5b796fbf5cb5614da7aaa4773fb404771c4821e4b8d30305ed8df58a2188&src=cloudflare&mode=cloudflare` | | URL | `hxxps://telegram[.]me/v2ts23m` (死信箱) | | URL | `hxxps://steamcommunity[.]com/profiles/76561198724155486` (死信箱) | | SHA256 | `e2f6f791dd32b18fd7a002efce17fdd039f69809f7ddabeda9d0de1035da82d9` (Go 加载器) | | SHA256 | `4a788d7009f7cd13fda4291461e67191bc4b9c34e16761796e0457810fe5bba8` (Vidar 载荷) | | SHA256 | `4d4cd6ee9165a7b5e1bb8c7e91e2d62cb9db662b415900959785d24a59188a42` (ZIP 归档) | | 僵尸网络 | `4c0a49bed86cb25165c2f64c7c27c48a` | | 互斥体 | `ChromeBuildTools` | **MITRE ATT&CK:** T1204.002, T1059.001, T1027.013, T1140, T1105, T1036.005, T1584.001, T1071.001, T1070.004, T1564.003, T1555, T1555.003, T1552.001, T1005, T1114, T1217, T1012, T1082, T1124 ### 2026-03-09 — 通过商业化 PhaaS 平台进行的 Gmail Workspace 凭据钓鱼 一封冒充 Gmail Workspace 系统通知（“从合并存储中释放传入邮件”）的钓鱼邮件被发送到某人权组织的公开电子邮件地址。该邮件通过合法的 SendGrid 账户（通过 SPF/DKIM 验证）发送，使用被盗用的印度公司域名作为发件人身份。钓鱼链接指向一个商业化的网络钓鱼即服务 平台，该平台具有两阶段架构：浏览器指纹识别框架 在显示凭据收集表单之前对访问者进行筛选。指纹识别包括 WebGL GPU 识别、通过 WebRTC STUN 请求揭示 VPN 背后的真实 IP、反 Bot 原型补丁检测以及 DevTools 检测。该平台在 Cloudflare 上使用通配符 DNS，为每个活动生成唯一的子域。当运营商的订阅过期时，许可系统得到证实——后端返回了“Your license has expired.” **主要发现：** - 两阶段钓鱼：登录页运行 collector.js 指纹识别框架，然后重定向到后端——在显示钓鱼表单之前过滤 Bot、沙箱和研究人员 - 浏览器指纹识别包括 WebRTC STUN (stun.l.google.com:19302) 用于对 VPN 用户进行去匿名化，WebGL GPU 指纹用于检测 VM (SwiftShader/llvmpipe)，以及反自动化检查 - 带有许可证的商业 PhaaS：过期的许可证返回“Your license has expired. Please renew to continue using the service.” - bitnest[.]za[.]com 上的通配符 DNS：任何子域都会解析到 Cloudflare CDN，从而实现即时活动子域生成 - SendGrid 滥用：账户 user_id=60417945，通过 SPF/DKIM 验证，保证收件箱投递 - 基础设施关联：Reply-To 域名 和 exquisite[.]za[.]com 通过 hostingww.com 共享同一 IP (91[.]193[.]42[.]16)——将 Reply-To 基础设施与 za.com 钓fish命名空间联系起来 - 发件人域名 是一家合法的印度公司，开放了 FTP、MySQL、SNMP 端口——很可能已被盗用 **文档：** - [事件报告 (英文, TLP:CLEAR)](reports/2026-03-09-gmail-phishing-phaas/Incident_Report_2026-03-09_EN.pdf) - [事件报告 (俄文, TLP:CLEAR)](reports/2026-03-09-gmail-phishing-phaas/Incident_Report_2026-03-09_RU.pdf) **IOC：** | 类型 | 值 | |------|-------| | URL | `hxxps://maxillae890[.]bitnest[.]za[.]com/testatrix449/` | | URL | `hxxps://demo[.]bitnest[.]za[.]com/testatrix449/` | | 域名 | `bitnest[.]za[.]com` (PhaaS 平台, 通配符 DNS, Cloudflare) | | 域名 | `oesplindia[.]com` (被盗用的发件人) | | 域名 | `sevensounds[.]ae` (Reply-To) | | IP | `188[.]114[.]96[.]11` (Cloudflare CDN) | | IP | `188[.]114[.]97[.]11` (Cloudflare CDN) | | IP | `170[.]10[.]163[.]134` (LiquidNet US, AS14555) | | IP | `91[.]193[.]42[.]16` (AMANKA SARL / AWS, AS16509) | | IP | `149[.]72[.]123[.]24` (SendGrid) | | 邮箱 | `sandeep@oesplindia[.]com` (发件人, 被盗用) | | 邮箱 | `td@sevensounds[.]ae` (Reply-To) | | SendGrid | 用户 ID `60417945`, 追踪: `u60417945[.]ct[.]sendgrid[.]net` | | 脚本 | `collector.js?v=21e981d0` (指纹识别框架 | **MITRE ATT&CK:** T1566.002, T1598.003, T1589.001, T1583.001, T1583.006, T1585.002, T1036.005, T1071.001, T1217 ### 2026-03-15 — Mamont 银行木马：伪装为“事故照片”的 Telegram 钓鱼 2026 年 3 月 12 日观察到通过 Telegram 传播的 Mamont 银行木马。受害者收到了来自被盗用联系人的一条消息——“嘿，还记得他吗？他出车祸了”——带有一个 HTML 附件，重定向到托管恶意 APK 的 Telegram 频道。该恶意软件请求默认短信应用权限，窃取银行短信验证码，并自动将钓鱼消息转发给设备上的所有联系人。C2 完全通过 Telegram Bot API 进行。Mamont 是俄罗斯最普遍的 Android 银行木马——据卡巴斯基报告，2025 年受攻击的用户数量增加了 36 倍。 **主要发现：** - 病毒式传播：来自被盗用真实联系人的钓鱼消息带有情感诱饵，HTML 重定向到 Telegram 频道（376 名订阅者） - 默认短信应用接管：一旦获得授权，木马将读取、发送和隐藏短信——从而能够拦截银行 OTP 码 - Telegram Bot API C2：操作员通过 Bot 命令控制设备 (/getallsms, /send, /ussd, /spamallcontact, /hidemsg) - 混淆：assets/ 中隐藏的带有伪造 zlib 头的 DEX，重命名的 Android SDK 包，受密码保护的 AndroidManifest.xml - 针对 30 多款俄罗斯应用：19 家银行（Sberbank、Tinkoff、Alfa-Bank 等），支付系统（MIR Pay、QIWI），电商平台（Wildberries、Ozon） - SaaS 模式：控制面板出售/出租（约 300 美元/月），APK 由构建器自动生成——解释了为何存在众多独立的操作员团伙 - 自我传播：/spamallcontact 命令将每个受害者变成新的攻击向量 **文档：** - [事件报告 (英文, TLP:CLEAR)](reports/2026-03-15-telegram-dtp-mamont/Incident_Report_2026-03-15_EN.pdf) - [事件报告 (俄文, TLP:CLEAR)](reports/2026-03-15-telegram-dtp-mamont/Incident_Report_2026-03-15_RU.pdf) **IOC：** | 类型 | 值 | |------|-------| | SHA256 | `cc08aa94ad0a58c81ac6d7922db970271cce3c064e9e561157d2794bb80b7e79` | | MD5 | `b787fff066ef4a03360cc3822289f9aa` | | 包名 | `org.net.framework` | | Telegram 频道 | `hxxps://t[.]me/+XEAhWyIorixlODVl` ("Accident Photos 10.03") | | 域名 | `amuvvoafs[.]com`, `amuvvoafs[.]me`, `amuvvoafs[.]su` | | 域名 | `tlydtdl[.]me` | | 诱饵文件 | `Запись происшествия.html` (Accident Record.html) | | APK | `Фото_ДТП.apk` (Accident_Photos.apk) | **MITRE ATT&CK:** T1660, T1204.002, T1398, T1406, T1407, T1417, T1636.004, T1636.003, T1418, T1481.002, T1646, T1582 ### 2026-03-14 — 通过虚假投票钓鱼活动劫持 Telegram 账户 观察到一起针对讲俄语的穆斯林社区的钓鱼活动，通过 Telegram 分发虚假的“地区投票”链接。在移动设备上点击该链接的受害者会看到一个包含两名候选人的虚假投票页面，然后被提示“通过 Telegram 授权以防欺诈”。授权步骤劫持了受害者的 Telegram 会话，使攻击者获得完整的账户访问权限。该活动使用专业的网络钓鱼即服务 工具包，具有多态 CSS 混淆、防重放令牌和 User-Agent 过滤功能（桌面用户被重定向到 Google，Telegram Bot 预览被抑制）。基础设施托管在 Pitline Ltd（乌克兰哈尔科夫）的防弹主机上——Censys 将该 IP 标记为 BULLETPROOF（置信度 0.75）。同一台服务器托管着 11 个共置域名，其中包括 4 个“vybory”（选举）域名。F6（前身为 Group-IB）记录了该工具包自 2022 年以来在 290 多个域名上的使用情况。 **主要发现：** - 专业的钓鱼工具包：每个请求重新生成多态 CSS 类前缀，防重放 URL 令牌，用于反检测的隐藏垃圾 HTML 内容 - 3 阶段 User-Agent 过滤：移动端 → 钓鱼页面，桌面端 → Google 重定向，TelegramBot → 204 No Content（抑制链接预览） - 服务器专门为这次活动从 Windows (RDP/SMB) 重建为 Debian Linux（Censys 服务历史：2026 年 2 月 12 日 → 3 月 7 日） - SSL 证书在攻击当天签发 (Let's Encrypt E7, 2026-03-14 11:16 UTC) - 单个 IP 上的 12 个域名分布在 2 个注册商集群（Namecheap + Global Domain Group）中，具有独立的 Cloudflare 账户——实现了 OPSEC 隔离 - 已记录的大规模活动的一部分：F6 追踪到自 2022 年以来有 290 多个域名使用此模板，活动高峰在 2026 年 2 月（39 个域名/月） - 病毒式传播模型：指示受害者“转发给联系人”，将每次入侵转变为新的攻击向量 **文档：** - [事件报告 (英文, TLP:CLEAR)](reports/2026-03-14-telegram-vote-phishing/Incident_Report_2026-03-14_EN.pdf) - [事件报告 (俄文, TLP:CLEAR)](reports/2026-03-14-telegram-vote-phishing/Incident_Report_2026-03-14_RU.pdf) **IOC：** | 类型 | 值 | |------|-------| | 域名 | `beaminkjet[.]com` | | IP | `77[.]83[.]39[.]62` (Pitline Ltd, 哈尔科夫, UA — BULLETPROOF) | | ASN | AS214940 (KPRONET) / AS215693 (PalmaHost) | | 网段 | `77[.]83[.]36[.]0/22` (Pitline Ltd) | | 邮箱 | `syimono1488@gmail[.]com` (WHOIS 注册人) | | URL | `hxxps://beaminkjet[.]com/umarashab` | | 域名 | `vybory[.]cyou`, `vybory[.]bond`, `vybory[.]sbs`, `vybory[.]cfd` | | 域名 | `vesna2026[.]cyou`, `vesna2026[.]cfd`, `vesna2026[.]sbs` | | 域名 | `onetop[.]sbs`, `onetop[.]cfd`, `onetop[.]bond`, `onetop[.]click` | | 哈希 (MD5) | `8d1c6e9b6c08132c9bddf5128515ebcc` (HTML 注释中的钓鱼工具包标识符) | | SSL 序列号 | `06:f1:d4:14:46:8b:2d:48:b9:40:cb:a9:42:d2:24:6a:b9:e5` | **MITRE ATT&CK:** T1566.002, T1204.001, T1036.005, T1027, T1539, T1056.003, T1556, T1583.001, T1583.003, T1588.002, T1608.002, T1550.004, T1589.001, T1070.004, T1213 ### 2026-03-10 — 蜜罐中检测到带有 MCP 模块的多协议扫描器 一个多服务蜜罐记录了来自单一 IP 地址的系统性侦察活动，在 10 分钟内探测了 8 个服务，包括针对模型上下文协议 (MCP) 的 JSON-RPC 初始化请求。这是首次记录到的 MCP 扫描被集成到多协议扫描器中的观察，该扫描器还同时扫描 SSH、MySQL、Docker API 和 Winbox 等传统服务。该扫描器自识别为“gitmc-org-mcp-scanner v1.0.0”——在任何公共代码库中均未找到此工具。 **主要发现：** - MCP `initialize` 握手（协议版本 2025-06-18）作为涵盖 SSH、Telnet、HTTP/S、MySQL、Docker API、Memcached 和 Winbox 的多服务扫描的一部分被发送 - 请求了全套客户端功能：`sampling`、`elicitation`、`roots`——最大化服务器响应 - 扫描器自识别为 `gitmc-org-mcp-scanner v1.0.0`——未找到公开参考 - 同一 IP 尝试进行 Docker API 利用：`POST /v1.43/containers/create` 并附带 Image: alpine, Cmd: `cat /etc/shadow` - SSH 指纹：带有后量子 KEX 算法 (mlkem768x25519-sha256) 的 OpenSSH 10.2 - 来源：住宅 DSL（Orange Polska，华沙）——可能是专用扫描系统或住宅代理 - 背景：GreyNoise 在 2025 年 11 月的蜜罐中没有看到 MCP 载荷；到 2026 年 3 月，MCP 扫描已成为通用扫描器的一部分 **文档：** - [事件报告 (英文, TLP:CLEAR)](reports/2026-03-10-mcp-scanner/Incident_Report_2026-03-10_EN.pdf) - [事件报告 (俄文, TLP:CLEAR)](reports/2026-03-10-mcp-scanner/Incident_Report_2026-03-10_RU.pdf) **IOC：** | 类型 | 值 | |------|-------| | IP | `95[.]51[.]243[.]130` (Orange Polska, 华沙, PL) | | rDNS | `ojl130[.]internetdsl[.]tpnet[.]pl` | | User-Agent | `curl/8.7.1` | | HASSH | `eeca2460550b9ded084ecf2f70a75356` (OpenSSH 10.2) | | MCP 客户端 | `gitmc-org-mcp-scanner` v1.0.0 | | MCP 协议 | `2025-06-18` | | Docker 路径 | `/v1.43/containers/create` (Image: alpine, Cmd: cat /etc/shadow) | **MITRE ATT&CK:** T1595.002, T1046, T1190, T1610, T1613, T1552.001 ### 2026-03-05 — 通过“Defisher”钓鱼工具包进行 WhatsApp 账户接管 通过 Signal 分发的钓鱼链接通过设备关联功能导致了 WhatsApp 账户被盗用。钓鱼网站冒充 WhatsApp Web，诱骗受害者输入他们的电话号码，然后输入设备关联码。该攻击由一个名为“Defisher”的商业化钓鱼工具包驱动——这是一个带有管理面板、基于 WebSocket 的 C2 和可选的独联体 (CIS) 国家过滤功能的 Next.js 应用程序。 **主要发现：** - 钓鱼工具包“Defisher”：基于 Next.js 的商业化工具，管理面板位于 `panel-my-test[.]online/auth` - 两种攻击模式：QR 码扫描和基于电话号码的设备关联（本次事件中使用了电话模式） - WebSocket C2：钓鱼页面通过 Socket.IO (`panel-my-test[.]online/api/socket`) 与后端通信 - 存在独联体 (CIS) 地理过滤代码，但在本次活动中**未激活**：源代码包含 `"Извините, ваш номер в зоне СНГ, ошибка"` 处理程序，但主动测试证实 CIS 号码（RU、UA、KZ、BY）被接受并收到了有效的关联码 - 基础设施：AEZA Group (AS210644)——防弹主机托管提供商，曾遭 FSB 突击搜查 (2025 年 4 月)，受到美国 OFAC 制裁 (2025 年 7 月) - 两个域名通过 PDR Ltd. 间隔 8 秒注册（批量注册），NS：timeweb.ru - API 端点暴露了活动统计数据：210 次浏览，73 次电话号码输入，服务器上的第 8 号活动（至少有 7 次先前的活动） - 开放的 Nginx Proxy Manager 管理面板位于端口 81 **文档：** - [事件报告 (英文, TLP:CLEAR)](reports/2026-03-05-whatsapp-defisher/Incident_Report_2026-03-05_EN.pdf) - [事件报告 (俄文, TLP:CLEAR)](reports/2026-03-05-whatsapp-defisher/Incident_Report_2026-03-05_RU.pdf) **IOC：** | 类型 | 值 | |------|-------| | 域名 |trust-authorization[.]tech` (钓鱼页面) | | 域名 | `panel-my-test[.]online` (C2 面板 / WebSocket API) | | IP | `147[.]45[.]43[.]133` (AEZA Group, AS210644, 法兰克福) | | URL | `hxxps://trust-authorization[.]tech/pUsl9nuZo649dKua0HL7uG5npbYAq1bn` | | URL | `hxxps://panel-my-test[.]online/api/socket` (WebSocket 端点) | | URL | `hxxps://panel-my-test[.]online/auth` (Defisher 管理面板) | | ASN | `AS210644` (AEZA-AS, 防弹主机) | | 网段 | `147[.]45[.]43[.]0/24` (Aeza-Network) | | SSH HASSH | `e42184b06d45385a906f0803d04c83da` | | SSH 主机密钥 SHA256 | `67e1fe70de94c56a515ae423ac6eded53e98a20cc7732114f661b372de82f934` | | TLS 序列号 | `0571f6a08d8bad9c5aaad12c3a22a3012108` (trust-authorization[.]tech, LE E7) | | TLS 序列号 | `06390e30192e8789eb02220f86d45db74a46` (panel-my-test[.]online, LE E8) | **MITRE ATT&CK:** T1566.002, T1078, T1583.001, T1583.003, T1588.002, T1036.005, T1071.001, T1530 ### 2026-03-02 — 针对人权 NGO 的冒充 Meta/Facebook 定向钓鱼 一封冒充 Meta/Facebook 的鱼叉式钓鱼邮件被发送给一家俄罗斯人权非政府组织 (NGO)。攻击者链接了合法服务（Resend.com → Amazon SES）以实现 SPF、DKIM 和 ARC 验证通过，确保了在 Gmail 中的收件箱投递。钓鱼链接指向一个可能被盗用的合法英国招聘网站，从而绕过了 URL 信誉过滤。 **主要发现：** - SPF、DKIM (×2) 和 ARC 全部通过——投递至 Gmail 收件箱，而非垃圾邮件 - 发送基础设施：Resend.com 电子邮件 API → Amazon SES (ap-northeast-1, 东京)，通过在 Sav.com 注册的域名（存在记录在案的滥用问题） - 钓鱼主机：`skillbaseltd[.]co[.]uk`——确认在到期后被域名劫持（公司处于清算中，证书证据来自 crt.sh）；绕过了 URL 信誉过滤 - 更广泛的基础设施：在共享的 Cloudflare/cPanel 主机上有 14 个重新注册的过期 .co.uk 域名集群；另有 3 个域名（`restorewellbeing[.]co[.]uk`、`rubyandginger[.]co[.]uk`、`senditmyway[.]co[.]uk`）已预先配置了 Resend+Amazon SES 发送基础设施——已为后续活动准备好 - 显示名称为带有空格的“M e t a”——逃避了匹配精确字符串“Meta”的品牌名称过滤器 - Meta 徽标直接从 `facebook[.]com` 加载——增加了可信度并启用了打开跟踪 - 定向攻击：收件人地址与特定的组织项目相关联，未公开列出；使用针对目标画像量身定制的俄语电子邮件 **文档：** - [事件报告 (英文, TLP:CLEAR)](reports/2026-03-02-meta-phishing/Incident_Report_2026-03-02_EN.pdf) - [事件报告 (俄文, TLP:CLEAR)](reports/2026-03-02-meta-phishing/Incident_Report_2026-03-02_RU.pdf) **IOC：** | 类型 | 值 | |------|-------| | 邮箱 | `identity-policy@readlundy[.]com` | | 域名 | `readlundy[.]com` (发送域名, 注册于 2025 年 8 月 15 日) | | 域名 | `send.readlundy[.]com` (Resend SPF 域名) | | 域名 | `skillbaseltd[.]co[.]uk` (钓鱼主机) | | URL | `hxxps://skillbaseltd[.]co[.]uk/` | | IP | `23[.]251[.]234[.]52` (Amazon SES, ap-northeast-1, 东京) | | IP | `104[.]21[.]15[.]116` (Cloudflare CDN) | | Message-ID | `0106019caf15ae50-9ddecc03-8e54-4d63-b110-5cf354fbf092-000000@ap-northeast-1.amazonses.com` | | 域名 | `restorewellbeing[.]co[.]uk` (相关基础设施: 已暂存的 Resend+SES) | | 域名 | `rubyandginger[.]co[.]uk` (相关基础设施: 已暂存的 Resend+SES) | | 域名 | `senditmyway[.]co[.]uk` (相关基础设施: 已暂存的 Resend+SES) | **MITRE ATT&CK:** T1583.001, T1583.006, T1584.001, T1585.002, T1566.002, T1056.003, T1656, T1036 ### 2026-02-18 — 冒充国家民主基金会的定向钓鱼 一起冒充国家民主基金会 (NED) 的鱼叉式钓鱼活动，利用虚构的拨款机会针对非政府组织 (NGO) 领域的个人。电子邮件通过俄罗斯 VPS 基础设施，从被盗用的赞比亚房地产域名发送。 **主要发现：** - 高度定向：使用全名称呼受害者，并虚构引用了之前的 NED 拨款申请 - 发件人冒充虚构的 NED 员工“Daniel Knaus”（存在真实员工 John Knaus） - 基础设施：SmartApe VPS（莫斯科，DataPro 数据中心）→ StableServer 中继 → AntiSpamCloud → Gmail - 发送域名通过了 SPF/DKIM 验证，绕过了基本的电子邮件身份验证 - 幽灵附件技术：电子邮件引用了 MIME 结构中不存在的附件文档 - 可能是多阶段攻击：初始电子邮件建立信任，后续交付恶意载荷 **文档：** - [事件报告 (英文, TLP:CLEAR)](reports/2026-02-18-ned-phishing/Incident_Report_2026-02-18_EN.pdf) - [事件报告 (俄文, TLP:CLEAR)](reports/2026-02-18-ned-phishing/Incident_Report_2026-02-18_RU.pdf) **IOC：** | 类型 | 值 | |------|-------| | 邮箱 | `daniel.knaus@hunterspropertyzm[.]com` | | 域名 | `hunterspropertyzm[.]com` | | IP | `188.127.227[.]111` (SmartApe VPS, 莫斯科) | | 主机名 | `s1277447.smartape-vps.com` | | IP | `192.250.227[.]159` (stableserver.net 中继) | | IP | `185.201.18[.]54` (antispamcloud.com) | | Message-ID | `177141183849.635335.*@s1277447.smartape-vps.com` | **MITRE ATT&CK:** T1566.001, T1036.005, T1598, T1589, T1591, T1583.003, T1586.002, T1204.001, T1585 ### 2026-02-13 — 通过 Google Drive 进行的带有浏览器指纹识别的钓鱼活动 一起滥用 Google 合法基础设施（Drive、Cloud Storage、Gmail）传递浏览器指纹识别载荷的钓鱼活动，该载荷托管在防弹基础设施（PROSPERO OOO，AS200593）上。 **主要发现：** - 通过受信任的 Google 域名的多跳投递链，绕过了电子邮件过滤器 - 使用 FingerprintJS v4.2.1 + BotD 进行受害者分析和规避扫描器 - 高级伪装：自动扫描器被重定向到 msn.com，真实用户被提取指纹 - 侦察行动——指纹收集与电子邮件追踪 ID 相关联，而非凭据窃取 - 基础设施托管在 PROSPERO OOO (AS200593) 上，这是一家被 Censys 标记为“BULLETPROOF”的臭名昭著的防弹主机提供商 - 同一 IP 托管了多个钓鱼活动：DocuSign 冒充 (`docusign.notifyentryflow[.]com`) 以及其他活跃至 2026 年 2 月下旬的域名 **文档：** - [事件报告 (英文, TLP:CLEAR)](reports/2026-02-13-google-drive-fingerprinting/Incident_Report_2026-02-13_EN.pdf) - [事件报告 (俄文, TLP:CLEAR)](reports/2026-02-13-google-drive-fingerprinting/Incident_Report_2026-02-13_RU.pdf) **IOC：** | 类型 | 值 | |------|-------| | 域名 | `online.accessinformnotice[.]com` | | 域名 | `accessinformnotice[.]com` | | 域名 | `accessinformattention[.]com` | | 域名 | `docusign.notifyentryflow[.]com` (相关: DocuSign 冒充, 同一 IP) | | 域名 | `notifyentryflow[.]com` (相关: 父域名) | | 域名 | `warningentrypath[.]com` (相关: 同一 IP, 活跃至 2026 年 2 月 26 日) | | IP | `91.202.233[.]71` (PROSPERO OOO, 圣彼得堡) | | ASN | `AS200593` (PROSPERO OOO, 防弹主机) | | 网段 | `91.202.233[.]0/24` | | URL | `hxxps://online.accessinformnotice[.]com/secure/index_newest.html` | | URL | `hxxps://online.accessinformnotice[.]com/secure/secure.php` | | GCS | `hxxps://storage.googleapis[.]com/persontwelve/online/offer.html` | | Google Drive | `hxxps://drive.google[.]com/file/d/18XPn0pHsygsvZcinTivBQ_I225l-xzpC` | | 邮箱 | `neyjardespbeg2002@secure.accessinformattention[.]com` | | 服务器 | `Apache/2.4.41 (Ubuntu)` | | FingerprintJS | `v4.2.1` | | TLS 证书 | `50f8484b5501e0132ef7ffc1614590845ccdc9375e53d81d2f7d7119a0387d3c` (SHA-256) | **MITRE ATT&CK:** T1566.002, T1036.005, T1036.001, T1204.001, T1608.005, T1090, T1583.003, T1217, T1041, T1592.004, T1598 ## 作者 **Aleksei Fokin** — DevOps / 基础设施工程师，波兰华沙 联系方式：info@afokin.com ## 许可证 所有报告均按照 [TLP:CLEAR](https://www.first.org/tlp/) 发布——分发不受限制。

标签：AI合规, Amazon SES, Cloudflare, DGA域名, DNSPod, ESC8, Google Workspace, IOCs, Laravel, MITRE ATT&CK, MongoDB, Sophos, TGT, URL重定向, 反分析, 失陷标示, 威胁情报, 安全报告, 实战攻防, 库, 应急响应, 开发者工具, 攻防演练, 数据展示, 日志审计, 社会工程学, 红队, 网络安全, 腾讯云, 逃逸技术, 隐私保护