Zeltoc/phishing-analysis-sneaky2fa-aitm

# 钓鱼分析实验 - Sneaky2FA AiTM 攻击活动 **工具：** Any.run（沙箱）、VirusTotal、MXToolbox **样本：** ACH_Remit_Status_Notification.pdf _ Ref_ Thu May 7 2026 - cd07650d....eml (2.47 KB).msg **结论：** 恶意 -- Sneaky 2FA **Any.run 报告：** https://app.any.run/tasks/df589c06-fa28-46e3-8edb-a3f27ddc1ddb **MITRE ATT&CK：** T1566.001, T1027, T1204.001, T1185, T1539 ## 目标 使用沙箱行为分析和威胁情报查询，分析来自 Any.run 公共订阅源的真实钓鱼样本。记录完整的攻击链，提取 IOC，识别规避技术，并生成 SOC 分析师在处理钓鱼工单时使用的分诊报告。 ## 样本元数据 | 字段 | 值 | |---|---| | 文件名 | ACH_Remit_Status_Notification.pdf _ Ref_ Thu May 7 2026 - cd07650d....eml (2.47 KB).msg | | 文件类型 | CDFV2 Microsoft Outlook Message (.msg) | | MD5 | C773594FB3B8AA10F09F3C939B59BFB0 | | SHA1 | F9422B4337F08185EDF5C1EF820E6C2DF39B22B4 | | SHA256 | 18BE13E1AE3C05F4CCB31AB6AB6045011E3DC199FDCA11AD0FE0510784EB7AB9 | | 分析日期 | May 07, 2026 15:28 UTC | | 沙箱评分 | 100/100 恶意 | | 威胁追踪 | Sneaky 2FA | ## 威胁背景 -- Sneaky 2FA Sneaky2FA 是一种针对 Microsoft 365 账户的中间人钓鱼工具包。它通过 Telegram 机器人以网络钓鱼即服务 的模式进行分发，这意味着任何人都可以在无需技术知识的情况下购买和部署它。 传统的钓鱼攻击仅窃取凭据，而 AiTM 工具包则不同，它会实时位于受害者和合法 Microsoft 登录页面之间。当受害者输入其凭据和 MFA 码时，该工具包会将其转发给 Microsoft，完成身份验证，然后窃取生成的会话 cookie。这意味着 MFA 无法防御此攻击——攻击者获得了完全绕过 MFA 的已验证会话。 ## 攻击链 投递过程遵循一个四阶段链，旨在每一步都能规避电子邮件安全检测： ### 阶段 1 -- 通过 HubSpot 投递电子邮件 (T1566.001) 钓鱼邮件在投递时嵌入了一个 HubSpot 链接跟踪 URL 作为可点击链接： ``` https://dxpkh004.na2.hubspotlinksstarter.com/Ctc/0+113/d[...utm tracking params...] ``` HubSpot 是一个具有高域名声誉的合法营销平台。检查 URL 声誉的电子邮件安全网关会看到 HubSpot 域名并予以放行。实际的恶意目标隐藏在 HubSpot 重定向内部。这是一种常见的滥用可信服务技术——攻击者专门利用 HubSpot、Google、OneDrive 等平台的免费套餐来绕过电子邮件过滤器。 邮件主题和文件名使用了金融诱饵语言——ACH 汇款通知——旨在针对那些预期会收到与付款相关文档的商业用户。 ### 阶段 2 -- HTML 附件在浏览器中打开 该 .msg 文件包含一个 HTML 附件。在 Outlook 中打开时，该文件会被写入 INetCache 目录并在默认浏览器中启动： ``` OUTLOOK.EXE -> msedge.exe [from C:\Users\admin\AppData\Local\Microsoft\Windows\INetCache\Content.Outlook\JYRUMQB2\ACH_Payment_Remittanc...] ``` 进程树显示 Outlook 直接从缓存的 HTML 文件路径启动了 msedge.exe——这是标准的 HTML 走私行为。恶意内容作为 HTML 文件而非可执行文件投递，这规避了许多附件扫描控制措施。 ### 阶段 3 -- 通过被攻陷站点的重定向链 (T1027) 在 HubSpot 链接解析之后，流量会指向一个被攻陷的合法巴西商业网站，该网站充当第一个重定向跳板： ``` https://contract-completion.oficinanorata.com.br/contract/document/Q22025/assessment/ready ``` 该页面伪装成 Roundpoint Mortgage 文件审查门户——沙箱捕获到了一个从该域名提供的 `freedom-mortgage-hero.jpg`。该 URL 结构对于金融文件诱饵来说看起来很有说服力。被攻陷的站点在电子邮件链接和最终的钓鱼工具包之间增加了另一层隔离。 ### 阶段 4 -- Sneaky2FA 工具包投递 (T1185, T1539) 最终目标是 Sneaky2FA AiTM 工具包： ``` https://challengesxbag.simonpope.info/verification/validatio[...] ``` 这是受害者看到的页面——一个 Microsoft 365 登录页面代理。在此处输入的任何凭据和 MFA token 都会被实时中继到 Microsoft，随后生成的已认证会话 cookie 会被攻击者窃取。 ## 基础设施分析 ### 共享 IP -- 关键枢纽 重定向域名和钓鱼工具包域名都解析到相同的 IP 地址： | 域名 | IP | ASN | |---|---|---| | contract-completion.oficinanorata.com.br | 23.94.232.185 | AS36352 (HostPapa) | | challengesxbag.simonpope.info | 23.94.232.185 | AS36352 (HostPapa) | 这是一个重大发现。攻击链的各个阶段都托管在同一个共享托管 IP 上。在实际调查中，在威胁情报平台中对此 IP 进行枢纽分析可能会挖掘出由同一运营商托管的其他钓鱼域名。 ### VirusTotal 结果 -- 检测盲区 | IOC | VT 检测率 | 备注 | |---|---|---| | oficinanorata.com.br | 4/92 | ADMINUSLabs、alphaMountain、Sophos、Webroot 标记 | | contract-completion.oficinanorata.com.br | 2/92 (Webroot, Sophos) | 用于重定向的子域名 | | challengesxbag.simonpope.info | 0/92 | 无检测，标记为 `dga` | | 23.94.232.185 | 0/92 | 共享托管上的干净 IP | 尽管在分析时该钓鱼工具包域名正在积极提供 Sneaky2FA 服务，但没有任何供应商检测到它。这是全新钓鱼基础设施的常见模式——该工具包建立在干净的子域名上，运行数小时或数天，然后在威胁情报源跟上之前被废弃。 **实际意义：** 仅依赖 VirusTotal 声誉查询的分析师会将此样本分诊为低风险。行为沙箱之所以能立即捕获它，是因为它分析了页面*做了什么*，而不是供应商对域名名的*看法*。沙箱分析对于捕获尚未被报告的全新钓鱼基础设施至关重要。 ## 规避技术 该样本使用了多层规避技术，记录在“网络威胁”选项卡中： | 技术 | 证据 | |---|---| | 滥用可信服务 | 使用 HubSpot 链接跟踪 URL 进行初始投递 | | Cloudflare Turnstile CAPTCHA | 触发了 3 次——阻止了自动化的沙箱和爬虫分析 | | JavaScript 混淆 | ET HUNTING 签名 M1、M2、M3 均被触发 | | HTML 十进制混淆 | ET PHISHING Suspicious HTML Decimal Obfuscated Title（可疑的 HTML 十进制混淆标题）触发了两次 | | 被攻陷的合法站点 | 通过 `oficinanorata.com.br` 的重定向增加了声誉掩护 | | 全新的子域名基础设施 | `challengesxbag.simonpope.info`——在分析时 VT 检测率为 0 | CAPTCHA 尤为相关——Sneaky2FA 专门使用 Cloudflare Turnstile 来阻止自动化安全工具访问钓鱼页面。无法解决 CAPTCHA 的扫描器永远看不到恶意内容。Any.run 沙箱之所以能够继续运行，是因为它模拟了真实的用户环境。 ## IOC 汇总 ### 域名 ``` contract-completion.oficinanorata.com.br contractcompletion.oficinanorata.com.br challengesxbag.simonpope.info dxpkh004.na2.hubspotlinksstarter.com (delivery vector -- HubSpot, not malicious infrastructure) ``` ### IP 地址 ``` 23.94.232.185 (AS36352 HostPapa -- phishing kit host) ``` ### URL ``` https://contract-completion.oficinanorata.com.br/contract/document/Q22025/assessment/ready https://contractcompletion.oficinanorata.com.br/contract/document/Q22025?utm_medium=email[...] https://challengesxbag.simonpope.info/verification/validatio[...] ``` ### 文件哈希 ``` MD5: C773594FB3B8AA10F09F3C939B59BFB0 SHA1: F9422B4337F08185EDF5C1EF820E6C2DF39B22B4 SHA256: 18BE13E1AE3C05F4CCB31AB6AB6045011E3DC199FDCA11AD0FE0510784EB7AB9 ``` ## MITRE ATT&CK 映射 | 技术 | ID | 描述 | |---|---|---| | 鱼叉式钓鱼附件 | T1566.001 | 包含 HTML 附件的 .msg 文件通过电子邮件投递 | | 混淆的文件或信息 | T1027 | JavaScript 混淆，HTML 十进制混淆 | | 恶意文件执行 | T1204.001 | 用户打开 HTML 附件从而启动浏览器 | | 浏览器会话劫持 | T1185 | AiTM 工具包代理 Microsoft 365 身份验证 | | 窃取 Web 会话 Cookie | T1539 | 在成功进行 AiTM 中继后窃取会话 cookie | ## 分析师分诊记录 **结论：** 恶意 -- 已确认针对 Microsoft 365 的 AiTM 钓鱼攻击活动 **如果这是一起真实的事件，建议采取以下行动：** - 在网络边界封禁 `23.94.232.185` - 在 DNS/代理中封禁 `challengesxbag.simonpope.info` 和 `contract-completion.oficinanorata.com.br` - 搜索邮件日志查找 HubSpot 跟踪域名，并提取包含该域名的所有电子邮件 - 搜索代理/防火墙日志，查找任何与 `23.94.232.185` 的连接——任何匹配记录都表明可能有用户访问了该工具包 - 如果用户点击了链接：将其视为潜在的会话泄露，而不仅仅是凭据泄露——在 Azure AD 中强制执行会话撤销，而不仅仅是重置密码 - 将 HubSpot 跟踪 URL 提交给 HubSpot 滥用举报部门以进行关停 **为什么会话撤销很重要：** 因为这是一个 AiTM 工具包，成功窃取会话 cookie 的攻击者即使在密码重置和重新注册 MFA 之后也能维持访问权限。必须通过 Azure AD 的“撤销会话 token”选项使会话 token 本身失效。 ## 核心要点 **VirusTotal 显示安全并不代表真的安全。** 此攻击中最危险的阶段——即位于 `challengesxbag.simonpope.info` 的 Sneaky2FA 工具包——在分析时检测率为零。全新的钓鱼基础设施通常领先于声誉数据库。行为沙箱分析是对可疑电子邮件做出分诊决策的正确工具，而不是仅仅依赖声誉查询。 **滥用可信服务非常有效。** HubSpot 投递链接能通过大多数电子邮件网关检查。攻击者正是出于这个原因专门选择合法平台的免费套餐。基于 URL 声誉的电子邮件安全不足以防御这种技术。 **AiTM 绕过了 MFA。** 这对于最终用户和安全意识培训来说是最重要的一点。当涉及 AiTM 工具包时，认为 MFA 能使钓鱼攻击无害的用户和安全团队是错误的。成功进行 AiTM 中继后的会话 cookie 窃取，使得攻击者无论 MFA 如何配置都能获得持久访问权限。 **共享基础设施是一个枢纽点。** 两个攻击阶段都解析到同一个 IP (`23.94.232.185`)，这意味着封禁或调查该单一 IP 就能同时破坏重定向和工具包。基础设施枢纽分析在钓鱼调查中是一项极具价值的活动。 ## 仓库结构 ``` phishing-analysis-sneaky2fa/ ├── README.md ├── evidence/ │ └── anyrun-full-report.pdf └── screenshots/ ├── 01-sample-header.png ├── 02-network-threats.png ├── 03-dns-requests.png ├── 04-http-requests.png ├── 05-vt-redirect-domain.png ├── 06-vt-ip-clean.png ├── 07-vt-kit-domain-clean.png └── 08-process-tree.png ``` ## 参考 - [Any.run 公开分析](https://app.any.run/tasks/df589c06-fa28-46e3-8edb-a3f27ddc1ddb) - [Sekoia.io -- Sneaky2FA 分析](https://blog.sekoia.io/sneaky2fa-new-adversary-in-the-middle-phishing-kit-targets-microsoft-365-accounts/) - [MITRE ATT&CK T1566.001 -- 鱼叉式钓鱼附件](https://attack.mitre.org/techniques/T1566/001/) - [MITRE ATT&CK T1539 -- 窃取 Web 会话 Cookie](https://attack.mitre.org/techniques/T1539/) - [MITRE ATT&CK T1185 -- 浏览器会话劫持](https://attack.mitre.org/techniques/T1185/)

标签：AiTM钓鱼, Any.run, Ask搜索, CVE与漏洞分析, DAST, DNS 反向解析, IOC提取, MFA绕过, Microsoft 365安全, PhaaS, Sneaky2FA, SOC分析, VirusTotal, 中间人钓鱼攻击, 会话Cookie窃取, 多因素认证绕过, 威胁情报, 威胁追踪, 安全事件响应, 安全分析报告, 安全沙箱分析, 安全运营中心, 开发者工具, 恶意样本分析, 恶意软件分析, 攻击链分析, 数据展示, 电子邮件安全, 红队, 网络安全, 网络攻防, 网络映射, 网络钓鱼即服务, 逃避技术, 钓鱼邮件分析, 防御加固, 隐私保护