yankywilson/clickup-redirect-phishing-investigation
GitHub: yankywilson/clickup-redirect-phishing-investigation
完整的ClickUp重定向钓鱼攻击调查案例,包含IOC、检测规则和MITRE ATT&CK映射,用于帮助安全团队识别绕过沙箱的钓鱼攻击。
Stars: 0 | Forks: 0
# ClickUp 重定向钓鱼——调查案例研究
**沙箱判定:** 4/10(清洁)
**分析师判定:** 恶意——凭证窃取 + 持久化 C2
**结果:** 终端隔离,凭证重置,IOC 在横向移动前已全网封堵
## 本案例的重要性
自动化沙箱经常对此攻击模式评分过低,因为每一个跳转都使用了可信基础设施:ClickUp 用于诱饵,Cloudflare 用于 C2 前置,Google Workspace 字体用于凭证页面。没有恶意二进制文件可供引爆。信号存在于**时间节奏、信标周期和品牌指纹特征**中——这些都不是 2 分钟的自动化引爆能够捕获的。
本仓库记录了完整的手动工作流程:PCAP 分析、IOC 提取、MITRE 映射和检测内容(KQL + Sigma + Suricata)。
## 仓库内容
| 路径 | 内容 |
|------|--------------|
| [`docs/case-study.md`](docs/case-study.md) | 完整事件报告——叙事、分析、经验教训 |
| [`docs/attack-chain.md`](docs/attack-chain.md) | 逐阶段攻击链及数据包层面证据 |
| [`docs/mitre-mapping.md`](docs/mitre-mapping.md) | ATT&CK 技术映射及检测依据 |
| [`iocs/iocs.csv`](iocs/iocs.csv) | 机器可读 IOC 列表(域名、IP、URL 模式)|
| [`iocs/iocs.stix2.json`](iocs/iocs.stix2.json) | STIX 2.1 捆绑包,用于 TIP 摄入 |
| [`detections/kql/`](detections/kql/) | Microsoft Sentinel / Defender XDR 狩猎查询 |
| [`detections/sigma/`](detections/sigma/) | 通用 Sigma 规则 |
| [`detections/suricata/`](detections/suricata/) | 网络 IDS 签名 |
| [`timeline/timeline.md`](timeline/timeline.md) | 重建的数据包层面时间线 |
| [`evidence/tshark-commands.md`](evidence/tshark-commands.md) | 分析中使用的可复现 TShark 查询 |
## 简述——一句话概括攻击
用户收到一个 ClickUp 共享文档链接。ClickUp 是合法的,因此 DNS/代理过滤器放行了该文档。文档托管了一个重定向至 CAPTCHA 门(反沙箱),随后加载了一个凭证页面,根据受害者邮箱域名动态渲染 HMRC(英国 GOV.UK 字体)或 Google Workspace(Google Sans + Roboto)登录表单。凭证被 POST 到工具包;随后,工具包立即对受害者执行 `api.ipbase.com` 地理定位查询。大约 3.5 小时后,设备开始每约 27 分钟向 `reset.todiofea.network` 发送信标,持续 37 小时,下载 1.5 MB 的载荷数据——典型的凭证窃取后 C2 植入程序行为,由 Cloudflare 前置以规避基于信誉的封堵。
## 关键指标
```
Domain reset.todiofea.network [Primary C2 — 37h beacon]
Domain town.crosai.best [Secondary staging endpoint]
Domain api.ipbase.com [Victim geolocation — kit telemetry]
IP 104.21.68.215 [Cloudflare-fronted C2]
IP 104.21.36.155, 172.67.196.119 [Cloudflare-fronted secondary]
Pattern doc.clickup.com/* → external redirect to non-clickup TLD
```
带哈希值和上下文的完整 IOC 列表:[`iocs/iocs.csv`](iocs/iocs.csv)
## 如何使用本仓库
**威胁猎人**——从 [`detections/kql/`](
标签:APT分析, C2通信, ClickUp滥用, Cloudflare, DNS 反向解析, HTTP工具, IOC提取, KQL查询, Metaprompt, MITRE ATT&CK, PCAP分析, Sigma规则, STIX威胁情报, Suricata检测, 多阶段攻击链, 安全事件响应, 恶意URL, 无线安全, 沙箱绕过, 目标导入, 社交工程, 终端隔离