afokin52/threat-intelligence

# 威胁情报报告 来自真实事件调查的公开威胁情报报告和失陷指标。 ## 报告 ### 2026-03-10 — 蜜罐中检测到集成 MCP 模块的多协议扫描器 一个多服务蜜罐记录了来自单个 IP 地址的系统性侦察活动，该地址在 10 分钟内探测了 8 个服务，其中包括针对 Model Context Protocol (MCP) 的 JSON-RPC 初始化请求。这是首个记录在案的 MCP 扫描观察案例，该扫描将其与传统服务（如 SSH、MySQL、Docker API 和 Winbox）集成在同一个多协议扫描器中。该扫描器自标识为 "gitmc-org-mcp-scanner v1.0.0" —— 一个在任何公开代码库中均未发现的工具。 **关键发现：** - MCP `initialize` 握手（协议版本 2025-06-18）作为涵盖 SSH、Telnet、HTTP/S、MySQL、Docker API、Memcached 和 Winbox 的多服务扫描的一部分被发送 - 请求了完整的客户端能力集：`sampling`、`elicitation`、`roots` —— 以最大化服务器响应 - 扫描器自标识为 `gitmc-org-mcp-scanner v1.0.0` —— 未发现公开参考资料 - 同一 IP 尝试了 Docker API 利用：`POST /v1.43/containers/create`，镜像为 alpine，命令为：`cat /etc/shadow` - SSH 指纹：OpenSSH 10.2，支持后量子 KEX 算法 (mlkem768x25519-sha256) - 来源：住宅 DSL（波兰华沙，Orange Polska）—— 可能是专门构建的扫描系统或住宅代理 - 背景：GreyNoise 在 2025 年 11 月未在蜜罐上观察到 MCP 载荷；到 2026 年 3 月，MCP 扫描已成为商业化扫描器的一部分 **文档：** - [事件报告 (英文, TLP:CLEAR)](reports/2026-03-10-mcp-scanner/Incident_Report_2026-03-10_EN.pdf) - [事件报告 (俄文, TLP:CLEAR)](reports/2026-03-10-mcp-scanner/Incident_Report_2026-03-10_RU.pdf) **IOCs:** | Type | Value | |------|-------| | IP | `95[.]51[.]243[.]130` (Orange Polska, Warsaw, PL) | | rDNS | `ojl130[.]internetdsl[.]tpnet[.]pl` | | User-Agent | `curl/8.7.1` | | HASSH | `eeca2460550b9ded084ecf2f70a75356` (OpenSSH 10.2) | | MCP client | `gitmc-org-mcp-scanner` v1.0.0 | | MCP proto | `2025-06-18` | | Docker path | `/v1.43/containers/create` (Image: alpine, Cmd: cat /etc/shadow) | **MITRE ATT&CK:** T1595.002, T1046, T1190, T1610, T1613, T1552.001 ### 2026-03-05 — 通过 "Defisher" 钓鱼工具包进行的 WhatsApp 账户接管 通过 Signal 分发的钓鱼链接，利用设备关联功能导致了 WhatsApp 账户被入侵。钓鱼网站伪装成 WhatsApp Web，诱骗受害者输入其电话号码，随后输入设备关联码。此次攻击由名为 "Defisher" 的商业钓鱼工具包支持 —— 这是一个 Next.js 应用程序，带有管理面板、基于 WebSocket 的 C2 以及可选的 CIS 国家过滤功能。 **关键发现：** - 钓鱼工具包 "Defisher"：基于 Next.js 的商业工具，管理面板位于 `panel-my-test[.]online/auth` - 两种攻击模式：二维码扫描和基于电话号码的设备关联（本次事件中使用了电话模式） - WebSocket C2：钓鱼页面通过 Socket.IO 与后端通信 (`panel-my-test[.]online/api/socket`) - 存在 CIS 地理过滤代码，但在此次活动中**未激活**：源代码包含 `"Извините, ваш номер в зоне СНГ, ошибка"` 处理程序，但主动测试证实 CIS 号码（RU, UA, KZ, BY）被接受并收到了有效的关联码 - 基础设施：AEZA Group (AS210644) —— 抗投诉托管提供商，曾遭 FSB 突袭（2025 年 4 月），受到美国 OFAC 制裁（2025 年 7 月） - 两个域名注册时间仅相隔 8 秒（批量注册），通过 PDR Ltd. 注册，NS：timeweb.ru - API 端点暴露了活动统计数据：210 次浏览，73 个电话号码输入，服务器上的第 8 号活动（至少有 7 次先前活动） - 端口 81 上开放了 Nginx Proxy Manager 管理面板 **文档：** - [事件报告 (英文, TLP:CLEAR)](reports/2026-03-05-whatsapp-defisher/Incident_Report_2026-03-05_EN.pdf) - [事件报告 (俄文, TLP:CLEAR)](reports/2026-03-05-whatsapp-defisher/Otchet_incident_WHATSAPP_DEFISHER_2026-03-05_TLP_CLEAR.pdf) **IOCs:** | Type | Value | |------|-------| | Domain | `trust-authorization[.]tech` (phishing page) | | Domain | `panel-my-test[.]online` (C2 panel / WebSocket API) | | IP | `147[.]45[.]43[.]133` (AEZA Group, AS210644, Frankfurt) | | URL | `hxxps://trust-authorization[.]tech/pUsl9nuZo649dKua0HL7uG5npbYAq1bn` | | URL | `hxxps://panel-my-test[.]online/api/socket` (WebSocket endpoint) | | URL | `hxxps://panel-my-test[.]online/auth` (Defisher admin panel) | | ASN | `AS210644` (AEZA-AS, bulletproof hosting) | | Netblock | `147[.]45[.]43[.]0/24` (Aeza-Network) | | SSH HASSH | `e42184b06d45385a906f0803d04c83da` | | SSH Host Key SHA256 | `67e1fe70de94c56a515ae423ac6eded53e98a20cc7732114f661b372de82f934` | | TLS Serial | `0571f6a08d8bad9c5aaad12c3a22a3012108` (trust-authorization[.]tech, LE E7) | | TLS Serial | `06390e30192e8789eb02220f86d45db74a46` (panel-my-test[.]online, LE E8) | **MITRE ATT&CK:** T1566.002, T1078, T1583.001, T1583.003, T1588.002, T1036.005, T1071.001, T1530 ### 2026-03-02 — 针对人权 NGO 的伪装成 Meta/Facebook 的定向钓鱼攻击 一封伪装成 Meta/Facebook 的鱼叉式钓鱼邮件被投递给了一家俄罗斯人权 NGO。攻击者链接合法服务（Resend.com → Amazon SES）以通过 SPF、DKIM 和 ARC 验证，确保邮件能投递至 Gmail 收件箱。钓鱼链接指向一个可能已被入侵的合法英国招聘网站，从而绕过了 URL 信誉过滤。 **关键发现：** - SPF、DKIM (×2) 和 ARC 均通过 —— 投递至 Gmail 收件箱，而非垃圾邮件 - 发送基础设施：Resend.com 邮件 API → Amazon SES (ap-northeast-1, Tokyo)，域名在 Sav.com 注册（有记录在案的滥用问题） - 钓鱼主机：`skillbaseltd[.]co[.]uk` —— 确认在过期后被域名劫持（公司处于清算中，通过 crt.sh 获得证书证据）；绕过 URL 信誉过滤 - 更广泛的基础设施：共享 Cloudflare/cPanel 托管上有 14 个重新注册的过期 .co.uk 域名集群；另有 3 个域名（`restorewellbeing[.]co[.]uk`、`rubyandginger[.]co[.]uk`、`senditmyway[.]co[.]uk`）已预配置 Resend+Amazon SES 发送基础设施 —— 为后续活动预置 - 显示名称 "M e t a" 带空格 —— 规避匹配精确字符串 "Meta" 的品牌名称过滤 - Meta 徽标直接从 `facebook[.]com` 加载 —— 增加可信度并启用打开追踪 - 定向攻击：收件人地址与特定的组织项目相关，未公开列出；俄语邮件针对目标画像进行了调整 **文档：** - [事件报告 (英文, TLP:CLEAR)](reports/2026-03-02-meta-phishing/Incident_Report_2026-03-02_EN.pdf) - [事件报告 (俄文, TLP:CLEAR)](reports/2026-03-02-meta-phishing/Incident_Report_2026-03-02_RU.pdf) **IOCs:** | Type | Value | |------|-------| | Email | `identity-policy@readlundy[.]com` | | Domain | `readlundy[.]com` (sending domain, registered Aug 15, 2025) | | Domain | `send.readlundy[.]com` (Resend SPF domain) | | Domain | `skillbaseltd[.]co[.]uk` (phishing host) | | URL | `hxxps://skillbaseltd[.]co[.]uk/` | | IP | `23[.]251[.]234[.]52` (Amazon SES, ap-northeast-1, Tokyo) | | IP | `104[.]21[.]15[.]116` (Cloudflare CDN) | | Message-ID | `0106019caf15ae50-9ddecc03-8e54-4d63-b110-5cf354fbf092-000000@ap-northeast-1.amazonses.com` | | Domain | `restorewellbeing[.]co[.]uk` (related infra: Resend+SES staged) | | Domain | `rubyandginger[.]co[.]uk` (related infra: Resend+SES staged) | | Domain | `senditmyway[.]co[.]uk` (related infra: Resend+SES staged) | **MITRE ATT&CK:** T1583.001, T1583.006, T1584.001, T1585.002, T1566.002, T1056.003, T1656, T1036 ### 2026-02-18 — 伪装成美国国家民主基金会的定向钓鱼攻击 一场伪装成美国国家民主基金会 (NED) 的鱼叉式钓鱼活动，以伪造的资助机会针对 NGO 领域的个人。邮件通过俄罗斯 VPS 基础设施从被盗的赞比亚房地产域名发送。 **关键发现：** - 高度定向：受害者被全名称呼，并提及伪造的先前 NED 资助申请 - 发件人伪装成虚构的 NED 员工 "Daniel Knaus"（真实员工名为 John Knaus） - 基础设施：SmartApe VPS（莫斯科，DataPro 数据中心）→ StableServer 中继 → AntiSpamCloud → Gmail - 发送域名的 SPF/DKIM 通过，绕过了基本的邮件认证 - 幽灵附件技术：邮件引用了一个 MIME 结构中不存在的附加文档 - 可能是多阶段攻击：初始邮件建立信任，后续投递恶意载荷 **文档：** - [事件报告 (英文, TLP:CLEAR)](reports/2026-02-18-ned-phishing/Incident_Report_2026-02-18_EN.pdf) - [事件报告 (俄文, TLP:CLEAR)](reports/2026-02-18-ned-phishing/Incident_Report_2026-02-18_RU.pdf) **IOCs:** | Type | Value | |------|-------| | Email | `daniel.knaus@hunterspropertyzm[.]com` | | Domain | `hunterspropertyzm[.]com` | | IP | `188.127.227[.]111` (SmartApe VPS, Moscow) | | Hostname | `s1277447.smartape-vps.com` | | IP | `192.250.227[.]159` (stableserver.net relay) | | IP | `185.201.18[.]54` (antispamcloud.com) | | Message-ID | `177141183849.635335.*@s1277447.smartape-vps.com` | **MITRE ATT&CK:** T1566.001, T1036.005, T1598, T1589, T1591, T1583.003, T1586.002, T1204.001, T1585 ### 2026-02-13 — 利用 Google Drive 进行浏览器指纹识别的钓鱼活动 一场滥用 Google 合法基础设施（Drive、Cloud Storage、Gmail）的钓鱼活动，用于投递托管在抗投诉基础设施（PROSPERO OOO, AS200593）上的浏览器指纹识别载荷。 **关键发现：** - 通过受信任的 Google 域名的多跳投递链绕过邮件过滤器 - 使用 FingerprintJS v4.2.1 + BotD 进行受害者画像和扫描器规避 - 高级伪装：自动扫描器被重定向至 msn.com，真实用户被指纹识别- 侦察行动 —— 指纹收集与邮件追踪 ID 关联，而非凭据窃取 - 基础设施托管在 PROSPERO OOO (AS200593)，Censys 标记为 "BULLETPROOF" 的臭名昭著的抗投诉托管提供商 - 同一 IP 托管多个钓鱼活动：DocuSign 冒名顶替（`docusign.notifyentryflow[.]com`）及其他域名持续活跃至 2026 年 2 月下旬 **文档：** - [事件报告 (英文, TLP:CLEAR)](reports/2026-02-13-google-drive-fingerprinting/Incident_Report_2026-02-13_EN.pdf) - [事件报告 (俄文, TLP:CLEAR)](reports/2026-02-13-google-drive-fingerprinting/Incident_Report_2026-02-13_RU.pdf) **IOCs:** | Type | Value | |------|-------| | Domain | `online.accessinformnotice[.]com` | | Domain | `accessinformnotice[.]com` | | Domain | `accessinformattention[.]com` | | Domain | `docusign.notifyentryflow[.]com` (related: DocuSign impersonation, same IP) | | Domain | `notifyentryflow[.]com` (related: parent domain) | | Domain | `warningentrypath[.]com` (related: same IP, active Feb 26, 2026) | | IP | `91.202.233[.]71` (PROSPERO OOO, St. Petersburg) | | ASN | `AS200593` (PROSPERO OOO, bulletproof hosting) | | Netblock | `91.202.233[.]0/24` | | URL | `hxxps://online.accessinformnotice[.]com/secure/index_newest.html` | | URL | `hxxps://online.accessinformnotice[.]com/secure/secure.php` | | GCS | `hxxps://storage.googleapis[.]com/persontwelve/online/offer.html` | | Google Drive | `hxxps://drive.google[.]com/file/d/18XPn0pHsygsvZcinTivBQ_I225l-xzpC` | | Email | `neyjardespbeg2002@secure.accessinformattention[.]com` | | Server | `Apache/2.4.41 (Ubuntu)` | | FingerprintJS | `v4.2.1` | | TLS Cert | `50f8484b5501e0132ef7ffc1614590845ccdc9375e53d81d2f7d7119a0387d3c` (SHA-256) | **MITRE ATT&CK:** T1566.002, T1036.005, T1036.001, T1204.001, T1608.005, T1090, T1583.003, T1217, T1041, T1592.004, T1598 ## 作者 **Aleksei Fokin** — DevOps / 基础设施工程师，波兰华沙 联系方式：info@afokin.com ## 许可证 所有报告均以 [TLP:CLEAR](https://www.first.org/tlp/) 协议发布 —— 分发无限制。

标签：Docker API, HTTP/HTTPS抓包, HTTP工具, IOC, MCP, Model Context Protocol, SSH, Web截图, 后量子密码学, 多协议扫描, 失陷指标, 威胁情报, 容器安全, 密码管理, 开发者工具, 态势感知, 扫描探测, 插件系统, 网络安全, 蜜罐, 证书利用, 调查报告, 配置审计, 防御加固, 隐私保护