针对贸易制造行业的钓鱼邮件分析

摘要说明

近期，猎影实验室监测捕获到一批针对贸易制造行业的钓鱼邮件样本。攻击者通过冒充客户向目标企业发送采购订单相关主题的钓鱼邮件，企图窃取企业邮箱账号信息。

目前，国内外贸易制造相关的行业都受到了一定的影响。其中，国内受影响较为严重的地区主要是广东、浙江、上海等沿海省份。

分析

钓鱼邮件主要以采购订单作为主题，通过携带命名与主题相关的html文件附件，引诱用户点击，如下是部分钓鱼邮件截图。

在本次钓鱼活动中，邮件所携带的附件都是html文件，并且内容相同，下面将分析其中一个示例，以了解攻击过程。

当用户点击附件时，将打开一个Excel表格的网页文件，并提醒用户输入企业邮箱密码以查看文档，而登录账号则是攻击者设置好的目标企业邮箱。

输入任意密码后，跳转到图片页面，显示模糊的订单图片。

通过查看html文件可以发现，攻击者会将用户的邮箱账号密码发送到攻击者的网站（http://wire-haired-bristle[.]000webhostapp[.]com/ss/opo.php）。

不同的附件，接收账号信息的网站和设置的企业邮箱将发生变化，在大部分的情况下，访问攻击者的网站会提示网页正在休眠。

本次分析的示例可以查看攻击者网站目录，该网站上有两个php文件。

其中， “orvx.php”是一个webshell，而“opo.php”是攻击链接的主要功能模块。

Opo.php主要功能是将获取到的企业邮箱账号密码再次转发到攻击者的邮箱rebelmoss@yandex.ru，代码如下所示。

据观察，本次钓鱼活动大概从今年中旬开始，并一直持续到至今。国外受影响较为显著的国家有韩国、捷克等，而国内的受害地区主要是广东、浙江、上海等沿海省份。

攻击者主要针对贸易制造行业进行钓鱼攻击，这些行业由于业务需要，企业邮箱经常公开在官方网站或相关论坛，容易被不法分子所利用。

总结

本次攻击与以往的钓鱼活动不同，整个攻击过程较为单一，目标性较强，旨在获取目标企业的邮箱信息，以部署进一步的攻击。

猎影实验室提醒广大用户及企业提高警惕，加强员工安全意识，不打开可疑邮件，不下载可疑附件。

IOC

arrested-temperatur[.]000webhostapp[.]com

asian-investor[.]000webhostapp[.]com

associate-deeds[.]000webhostapp[.]com

blessed-believe[.]000webhostapp[.]com

changrapik[.]000webhostapp[.]com

contrabass-surplus[.]000webhostapp[.]com

cryptical-touches[.]000webhostapp[.]com

ghhdshjsd[.]000webhostapp[.]com

gochadong[.]000webhostapp[.]com

goshang[.]000webhostapp[.]com

hijacking-prompts[.]000webhostapp[.]com

hippophagous-lifeti[.]000webhostapp[.]com

hokey-broadcasts[.]000webhostapp[.]com

impenitent-petroleu[.]000webhostapp[.]com

itthhssa[.]000webhostapp[.]com

jhybohu123[.]000webhostapp[.]com

jiuo2[.]000webhostapp[.]com

johnson002[.]000webhostapp[.]com

legionary-pushup[.]000webhostapp[.]com

lindinaked[.]000webhostapp[.]com

litigable-yell[.]000webhostapp[.]com

made-mind[.]000webhostapp[.]com

mojisola11[.]000webhostapp[.]com

muname[.]000webhostapp[.]com

nancyogo[.]000webhostapp[.]com

nevorder[.]000webhostapp[.]com

new-order11[.]000webhostapp[.]com

obablack[.]000webhostapp[.]com

oluwatosure123[.]000webhostapp[.]com

parsonic-packages[.]000webhostapp[.]com

persuadable-sun[.]000webhostapp[.]com

phynoblaze[.]000webhostapp[.]com

samklef[.]000webhostapp[.]com

sempelee[.]000webhostapp[.]com

shandrong[.]000webhostapp[.]com

skuo2[.]000webhostapp[.]com

smarinkafred[.]000webhostapp[.]com

sobering-sweep[.]000webhostapp[.]com

sourchage[.]000webhostapp[.]com

spart300po[.]000webhostapp[.]com

sprawly-excesses[.]000webhostapp[.]com

sugar-coated-busine[.]000webhostapp[.]com

sure-minded[.]000webhostapp[.]com

torrid-printouts[.]000webhostapp[.]com

triphyllous-foam[.]000webhostapp[.]com

ubiquitous-winch[.]000webhostapp[.]com

unachievable-resolu[.]000webhostapp[.]com

unburrowed-handlers[.]000webhostapp[.]com

unfeathered-religio[.]000webhostapp[.]com

unheaded-pull[.]000webhostapp[.]com

victorsnip1[.]000webhostapp[.]com

wire-haired-bristle[.]000webhostapp[.]com

wsqejksw[.]000webhostapp[.]com

yiyiyywrwiywri[.]000webhostapp[.]com