皇冠管理端登3网址:三大黑产组织情报!邮件钓鱼背后操控的缅北魔方G组织

Telegram群聊机器人www.tel8.vip)是一个Telegram群组分享平台。Telegram群聊机器人导出包括Telegram群聊机器人、telegram群组索引、Telegram群组导航、新加坡telegram群组、telegram中文群组、telegram群组(其他)、Telegram 美国 群组、telegram群组爬虫、电报群 科学上网、小飞机 怎么 加 群、tg群等内容。Telegram群聊机器人为广大电报用户提供各种电报群组/电报频道/电报机器人导航服务。

今年上半年,通过对涉诈网址、应用的攻防手段分析,我们发现了三大黑灰产组织,包括为东南亚线上博彩平台提供技术、支付通道的境外博彩联盟和中国某地区B**N集团,以及针对中国大陆企业进行精准邮件钓鱼的缅北魔方G团伙。这些组织是诈骗产业上游技术供应链,使用的攻击行为隐蔽,识别难度大。

盘踞在中国境内的“B**N集团”

为东南亚博彩产业提供核心技术支撑

今年6月,我们监测到部分涉诈、涉赌网站通过专属浏览器的方式跳过域名的拦截策略。深入分析后,发现该攻防浏览器背后产业可能是以中国某地区的B**N集团为技术核心,为东南亚博彩集团、“杀猪盘”提供应用定制开发,实现躲避网络安全厂商、执法机构的识别拦截,东南亚博彩集团、诈骗团伙进行平台运营,最终面向中国境内开展博彩、杀猪盘等活动。

 图-诈骗网站提供的网址不能访问解决方案

初觉:黑灰产攻防浏览器背后的开发者

在一些博彩和杀猪盘网站中,为方便用户访问,都会引导其下载指定浏览器。以*宇浏览器以主,也存在部分与博彩平台同名的专属浏览器。与传统的通过布置多条服务器节点、多个域名,用户手动选择最新未拦截博彩网址的方式相比,专属浏览器的方式更加的“智能化”,“使用了独家线路加速技术,解决无法访问、被劫持、跳转非法网页问题”,降低了域名被拦截的风险。由于其无痕模式,也增加了取证研判的难度。

其中*宇浏览器,通过其包名、签名特征分析,推测应用开发者是位于中国某地区的B**N集团。通过360安全大脑,发现其证书信息涉及应用上万个,其名称类型大致分为博彩、直播、浏览器,其中还包括专用字样,可以看出这些浏览器都是为博彩平台定制开发的。

 图-博彩网站推荐使用专属浏览器引流页面

溯源:为东南亚博彩提供技术支撑的团伙画像逐渐清晰

B**N集团开发的过万个应用中,部分包名含demo、test,推测为测试包。

应用逆向分析后,发现作者来源于中国某地区,签名中城市信息相吻合。

疑似该作者开发的博彩代理应用demo,包名为*bet.agent.*,应用指向*bet.com,根据关键词搜索发现,指向多个博彩网站,说明该应用是一个博彩代理APP。

通过这批应用流转地址及关联节点来看,境外节点中以菲律宾、缅甸、柬埔寨数量最多,其中菲律宾、柬埔寨的节点中还发现了其他的博彩信息,说明该批应用的实际运营者位于菲律宾、缅甸、柬埔寨。

综上,清晰的描绘出了,为东南亚博彩集团、杀猪盘提供应用定制开发服务的诈骗团伙产业技术核心——B**N集团。

钓鱼邮件攻击背后的“缅北魔方G”组织

2021年9月,开始频繁出现冒充公司给员工发工资补贴邮件进行诈骗的新闻。今年5月,360手机卫士收到用户反馈,其收到“关于发布最新工资补贴通知,请打开附件查收!”的邮件,扫码访问邮件中的二维码,并按照提示填写姓名、电话号码、银行卡号、验证码后,资金被盗刷。

这些邮件使用的钓鱼页面与虚假ETC短信钓鱼网站在界面、功能上相似,随着研究深入,我们发现这些钓鱼网站背后是位于缅北的黑灰产团伙,其开发了冒充工资补贴、ETC、社保、医保等钓鱼网站,并通过短信群发、邮箱群发等方式进行引流。鉴于此种引流方式大多使用**魔方工具进行数据清洗,我们将此类攻击行为统称为“缅北魔方”。同时本次发现的组织在钓鱼中使用的中转域名均为site*.g*.r*,基于此将其命名——“缅北魔方G”组织。

“缅北魔方G”攻防特点

从涉诈域名来看,其主要是通过Cname的方式解析至site01.g*.r*,解析的18个中国某地区服务器,最早解析时间为2021年12月,最近解析时间为2022年5月,说明该黑产团伙从2021年12月已开始实施攻击行为。根据域名的上线时间,我们发现诈骗团伙十分谨慎,域名在传播前才上线,从而降低域名过早外露导致被拦截。

Cname至site01.g*.r*的域名达500+,其中xyz、uho的域名使用的最多达400+,并生成不同的钓鱼子域名,内容是冒充ETC、冒充国家医疗保障局。

,

皇冠管理端登3网址皇冠管理端登3网址(www.ad0808.com)实时更新发布最新最快最有效的皇冠管理端登3网址、皇冠管理端登3手机网址,包括新2登3手机网址,新2登3备用网址,皇冠登3最新网址,新2足球登3网址,新2网址大全。

,

通过g*.r*域名解析记录来看,其2022年使用的子域名过百个,使用的服务器IP超过10个,域名服务器分布在阿根廷、美国等地。其中可能用于做域名解析跳转的子域名共9个,其特点是子域名为site*,IP均指向中国某地区。

从攻防手段来看,“缅北魔方”组织,使用了多级域名轮换进行域名防护和隐藏自身,但相较于缅北其他的诈骗组织使用的攻防手段,缺少了使用CDN对服务器IP的保护。

钓鱼邮件攻击路径分析

主要是先向某些员工(特别是财务人员)发送含钓鱼网址的钓鱼邮件,通过伪装的网站页面,引导该员工在页面中填写邮箱账号和密码,进而利用该员工的邮箱向企业内部群发钓鱼邮件。

从钓鱼邮件的攻防手段来看,网址二维码进行了UA检测,限制使用手机端访问,否则不显示内容。使用的多级跳转、子域名轮换、框架嵌套等技术,很难及时识别并拦截。

从目前掌握的情报来看,推测“缅北魔方”组织通过搜索引擎、商业信息服务平台批量检索并爬取了大量的企业邮箱。由于这些企业邮箱的特点是公网可以访问,其盗取到财务的邮箱密码后,冒充财务向企业内部发送钓鱼邮件。目前被攻击的企业类型可能涉及通讯、保险、餐饮、纺织、可再生能源、大学、住宅物业等多个行业。

继包网平台之后,出现博彩平台新技术、渠道商

360手机卫士安全攻防团队在研判一款名为恒*的博彩APP时,发现其有别于常见的博彩应用,无注册入口,页面在线客服也不直接提供注册入口,而是引导赌客通过搜索引擎寻找注册入口,根据搜索结果页跳转的博彩导航平台入口进行注册。汇总这些博彩导航页面后发现其页面标题多包含联盟字样,例如多*联盟、凤*联盟,跳转的博彩注册链接含有特定的博彩返点参数。推测此类博彩平台背后可能存在一个集博彩平台开发、支付通道、游戏接口、挂机应用、跑分平台、担保中心、色情推广于一身——博彩联盟产业。

博彩平台隐藏注册入口,通过搜索引擎、色情网站引流

恒*APP打开后,界面中的“跑分”关键词,由于没有注册入口,很难将其与博彩平台相关联,会误以为是跑分应用。通过360安全大脑对APP分析,发现其为封装WEB类APP,并使用了博彩平台常用的CDN平台,进一步证实其为博彩类应用。

 图-博彩网站首页

相较于常见的博彩平台,页面除了彩票、真人、棋牌、电竞等博彩板块外,还多了奖源认证和托管跑分:

奖源认证:多*联盟的会员认证入口,其页面内容介绍“恒*为多*联盟认证钻石级会员,已缴交100万保证金”,从而让赌客相信赌博平台不会“跑路”。

托管跑分:点击页面中的犀*、金**富,则跳转至跑分平台,并在页面发现了其使用的三种跑分方案。在对犀*和金*财富的上游引流页分析时,发现其除通过博彩平台引流外,还在色情网站进行引流,且通过色情平台进行赔付承保。

 图-黑灰产平台关于跑分项目介绍

博彩平台背后的技术、支付承兑商

在多*联盟的会员功能介绍,包含*支付、**娱乐、k**棋牌、**挂机、**统计等多种产品,可以看出是为博彩平台提供了支付接口,增强其产业洗钱通道。

通过以上的分析,博彩联盟产业主要包含博彩平台、博彩联盟平台、色情网站、赌客/跑分客几个部分:

博彩联盟为博彩平台提供技术、支付通道,是整个产业的核心,同时通过博彩网站、色情网站为其推广旗下跑分平台,增强自身的支付通道及洗钱能力。

博彩联盟、博彩平台、推广平台相互间通过押金方式进行约束。

博彩平台不直接展示注册入口,通过博彩联盟进行SEO,或依托博彩代理的推广页拉新,实现双方佣金结算。

 

,

app kiếm tiền online(www.84vng.com):app kiếm tiền online(www.84vng.com) cổng Chơi tài xỉu uy tín nhất việt nam。app kiếm tiền online(www.84vng.com)game tài Xỉu đánh bạc online công bằng nhất,app kiếm tiền online(www.84vng.com)cổng game không thể dự đoán can thiệp,mở thưởng bằng blockchain ,đảm bảo kết quả công bằng.

添加回复:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。