screem500/SPL-Phishing-Campaign-Sigma-Rules

SPL & DHL 钓鱼活动 - 检测工程与取证分诊 状态：所有渠道已尝试完毕 - 等待关停决策 最后更新：2026年6月25日 概述 本仓库记录了针对沙特阿拉伯（KSA）公民的复杂多层钓鱼活动的实时取证分诊，该活动通过电子邮件进行传播。最初只是一个简单的 20 SAR（沙特里亚尔）海关费诱饵，随后却揭示出一个四层犯罪基础设施，具备动态路径随机化、每个受害者会话使用一次性的加密 token，以及域名轮换功能，以此逃避关停。 在所有活动 URL 中，唯一稳定的检测锚点是两个静态参数，即使在域名轮换后它们依然存在：活动指纹（`ptf`）和 C2 后端地址（`oho`）。 调查时间线 阶段 1 - 诱饵 钓鱼邮件冒充沙特邮政（Saudi Post）和沙特阿拉伯海关（KSA Customs），要求在 72 小时内缴纳 20 SAR 的海关费。发件人显示域名：bahamas.gov.bs。DNS 确认其 DMARC 为 `p=reject` —— 直接伪造被阻止。攻击者仅将其用作显示名称。 阶段 2 - 被攻陷的入口点（第 1 层） 链接指向 ccs-ti.com（Joomla 3.9.22，已于 2023 年 8 月停止支持 EOL）。在非标准的 typosquatted（ typo 域名仿冒）模板路径中发现了钓鱼工具包。从真实的移动端浏览器打开后，在 ccs-ti.com 上显示了完整的阿拉伯语 SPL 钓鱼页面：要求清关、收取 20 SAR 费用、设定 72 小时最后期限，并伴有重量不符的警告。通过内容检查验证，模板文件是干净的。 阶段 3 - 确认 TDS Bot 规避（第 3 层） curl 请求返回为空。iPhone User-Agent 返回 HTTP 200。`Cache-Control: no-store, no-cache` 确认了截至 2026 年 6 月 24 日 01:41:55 GMT 进行动态 PHP 执行。 阶段 4 - 独立域名上的 DHL 工具包（第 2 层） 点击支付按钮会重定向至 veyipa.astronex.icu，该网站提供了一个专业的英文 DHL 快递滞留页面，并带有虚假的追踪代码 AIPD-1512-KL10。该活动在流程中途从阿拉伯语的 SPL 冒充转变为英文的 DHL 冒充。 阶段 5 - 确认一次性 Token 和路径随机化（第 4 层） 重新访问 ccs-ti.com 链接返回 Unauthorized Access（未授权访问）。工具包仍保留在服务器上，但每个会话的加密 token 已过期。每次点击电子邮件都会通过 C2 后端生成一个新的 token 和一个完全随机化的路径，这使得在 URL 级别进行封锁无效。 阶段 6 - 确定活动指纹 对多个 URL 的参数分析揭示了两个静态 IoC，无论域名或路径如何轮换，它们存在于每个活动重定向中： `ptf=26934eb377001f66e37289a5c93fe284`（活动指纹） `oho=t4.citadelenv.su`（C2 后端） 阶段 7 - 域名轮换至 quickinsighthub.st（2026 年 6 月 25 日） 在 Cloudflare 对 veyipa.astronex.icu 进行限制后，操作者在相同的 OrangeWebsite 基础设施上激活了 kemevu.quickinsighthub.st。相同的 `ptf` 和 `oho` 确认了是同一操作者。在不同会话中观察到多个随机化路径： `/xa/niju/saloni/lobuhi/index.php` `/gone/mocufu/fe/bu/index.php` `/kuxalu/jofopu/veke/index.php` 基础设施图谱 受害者收到带有一次性加密 token 链接的钓鱼邮件 | 点击触发 t4.citadelenv.su 生成 token 每个会话发布唯一的 rpclk token + 随机化路径 | ccs-ti.com（被攻陷的 Joomla 3.9.22 EOL 主机） 提供阿拉伯语 SPL 工具包（海关费，72 小时最后期限） | TDS：User-Agent 检查 + token 验证 | +-- Bot / 过期 token：Unauthorized Access | +-- 真实移动端浏览器 + 有效 token：HTTP 200 | 受害者点击支付按钮 | [域名轮换池 - 均在 OrangeWebsite 上] veyipa.astronex.icu（已被 Cloudflare 限制） kemevu.quickinsighthub.st（活跃，已被 Cloudflare CDN 限制） [潜在的额外未知域名] | t4.citadelenv.su（TDS/C2 后端，Cloudflare，.su TLD） 控制路由、token 发布、路径随机化 妥协指标 静态活动指纹（存在于所有域名的所有活动 URL 中）： `ptf=26934eb377001f66e37289a5c93fe284` `oho=t4.citadelenv.su` 入口点 URL： `https://ccs-ti.com/templates/purity_iii/etc/form/lnternationalppost/app/index.php` 钓鱼工具包域名 1（已被 CDN 限制）：veyipa.astronex.icu 注册商：Dynadot LLC 创建日期：2026 年 4 月 7 日 钓鱼工具包域名 2（已被 CDN 限制）：kemevu.quickinsighthub.st 注册商：IncogNET (incognet.io) 注册局：.ST Registry 托管（两个域名）：OrangeWebsite，冰岛 (THORDC-AS) 钓鱼工具包 IP：104.21.83.28 / 172.67.210.230 (Cloudflare) TDS/C2 后端：t4.citadelenv.su TDS/C2 IP：172.67.135.235 / 104.21.7.88 (Cloudflare) 虚假追踪代码：AIPD-1512-KL10 发件人显示域名：bahamas.gov.bs（DMARC p=reject，滥用显示名称） 被攻陷的主机：ccs-ti.com Joomla 版本：3.9.22（自 2023 年 8 月起停止支持 EOL） Web 服务器：Apache SSL：Let's Encrypt R12，签发于 2026 年 5 月 4 日，过期于 2026 年 8 月 2 日 TDS 行为： 每个会话使用一次性的加密 token（rpclk 参数） 工具包域名上每个会话的完全随机化路径 Token 有效窗口：大约 24 分钟（currts 增量） 过期后的响应：Unauthorized Access 关停状态 Cloudflare： veyipa.astronex.icu：已限制（报告 ID：fb87731872d82c63） kemevu.quickinsighthub.st：已限制（报告 ID：7f9c9f1c2a0a5ad9） t4.citadelenv.su：不再可见（报告 ID：b2e29e733a2612a3） Dynadot（astronex.icu 注册商）： 状态：调查中 案件编号：ddcn:M6vV8z9U8p6C6l:ddcn 已通过网络表单提交两份附带证据的正式投诉 IncogNET（quickinsighthub.st 注册商）： 状态：工单已开启 工单编号：0625Y12O8 由 ST Registry 转交（工单 #388498） ST Registry（.st TLD）： 状态：已回复 - 转交给 IncogNET 原始工单编号：388498 OrangeWebsite（源站托管 - 涉及两个域名）： 状态：未采取行动 已发送三封升级处理邮件 仅收到自动回复 注：自诩为言论自由的主机，抵制关停请求 CERT-SA：已通知 CERT Iceland：已通知（旨在向 OrangeWebsite 施压） Shortdot（.icu 注册局）：已通知 Google Safe Browsing：已提交三个钓鱼 URL 检测覆盖范围 `/detections` 文件夹包含以下规则： sigma_proxy_spl_phish.yml 监控出站代理/网络流量，查找所有域名中的静态活动参数 `ptf=26934eb377001f66e37289a5c93fe284` 和 `oho=t4.citadelenv.su`。路径和域名轮换均无法逃避此规则。 sigma_email_spl_customs_lure.yml 针对邮件网关层，追踪诱饵字符串（“weight mismatch”、“20 SAR”、“72 hours”、“DELIVERY PENDING”），并结合来自 bahamas.gov.bs 的 DMARC 对齐缺口。 sigma_webserver_joomla_kit.yml 检测 web 服务器日志中 Joomla 模板路径下未经授权的目录创建和文件写入操作。 yara_spl_customs_phish.yar YARA 签名，匹配已恢复工具包中已知的字符串、路径模式和结构指标。 用法 使用 sigma-cli 将 Sigma 规则转换为适用于你的 SIEM 的格式： 对于 Splunk： `sigma convert -t splunk -p splunk sigma_proxy_spl_phish.yml` `sigma convert -t splunk -p splunk sigma_email_spl_customs_lure.yml` 对于 Elastic： `sigma convert -t elastic -p ecs_web sigma_webserver_joomla_kit.yml` 对于 QRadar： `sigma convert -t qradar sigma_proxy_spl_phish.yml` 运行 YARA 扫描： `yara yara_spl_customs_phish.yar /path/to/scan/` 报告 如果你在你的环境中发现此活动，请报告至： CERT-SA：cert@cert.gov.sa Cloudflare Abuse：cloudflare.com/abuse/form Dynadot Abuse：dynadot.com/report-abuse IncogNET Abuse：portal.incognet.io Google Safe Browsing：safebrowsing.google.com/safebrowsing/report_phish APWG：apwg.org/report-phishing 分诊时间线 检测日期：2026 年 6 月 23 日 在 ccs-ti.com 上观察到 SPL 工具包：2026 年 6 月 24 日 11:24 在 veyipa.astronex.icu 上观察到 DHL 工具包：2026 年 6 月 24 日 确认 Token 过期：2026 年 6 月 24 日 05:24 确认路径随机化：2026 年 6 月 24 日 05:29 检测到域名轮换至 quickinsighthub.st：2026 年 6 月 25 日 04:59 所有关停渠道已尝试完毕：2026 年 6 月 25 日 当前状态：等待 Dynadot 和 IncogNET 的域名暂停决定

标签：AMSI绕过, Reconnaissance, Sigma规则, 威胁情报, 威胁检测, 安全运营, 开发者工具, 扫描框架, 数字取证, 目标导入, 自动化脚本, 配置审计, 钓鱼攻击分析