某集团被“银狐”钉钉供应链投毒钓鱼全过程

前言

现在“银狐”已经不是指某一黑灰产团队了，已经成为一种攻击方式了

攻击链

仿冒官网 → 下载恶意安装包 → 木马植入 → 远程控制 → 钉钉群发钓鱼 → 信息窃取详细流程

1. 供应链投毒

攻击者搭建仿冒钉钉官网：

apps-dingding.com.cn

员工通过搜索引擎进入仿冒站，下载恶意安装包（托管于香港阿里云 OSS

n-hongkong.aliyuncs.com/dingtalk_down2.5.6.zip

2. 木马植入

运行安装包后，自动释放木马

• e（PID: 11972）

• C2 地址：·112.213.106.27（中国香港）

- 落地路径：（伪装成网易云音乐目录）

C:\ProgramFiles\NetEase\CloudHusic\

3. 远程控制利用

员工离开就餐午休，电脑未锁屏，钉钉在线。

攻击者通过远程控制通道操作钉钉，群发钓鱼消息：

关于个人补贴申报的通知，请各位员工点击链接进行申报链接：

https://xxx.cn/发信账号为员工本人，同事信任度高。

4. 钓鱼收网

同事点击链接进入伪造的财政补贴申领页面，填写：

• 姓名

• 身份证号

- 手机号 - 银行卡号

敏感信息直接落入攻击者手中。

•银行卡余额

•银行

提交后导致敏感信息泄

写的信息url

通过

5、拿到银行卡信息并转钱

安全人员发现异常，

1. x.cn 为钓鱼网站

2. 信息如下

   

   

追溯下载记录，确认攻击

攻击特征归因

根据攻击手法和 IP 溯源，判定为银狐团伙：

• 仿冒官网投放恶意程序

• 控制终端后借助 IM 工具实施诈骗

• 以”补贴申领““政策通知”为主题提高诱骗成功率

  

攻击成功要素

1. 入口 - 未识别仿冒域名（apps-dingding.com.cn）

2. 离开未锁屏，通讯账号在线

3. 同事信任