文章总结: 某集团遭遇银狐团伙供应链投毒攻击,攻击者搭建仿冒钉钉官网诱导员工下载恶意安装包,植入伪装成网易云音乐的木马程序。攻击者利用员工午休未锁屏时机,通过远程控制操作钉钉群发钓鱼消息,以补贴申报为诱饵窃取同事身份证号、银行卡密码等敏感信息。文档详细分析了攻击链各环节并提供了应急处置方案。 综合评分: 85 文章分类: 威胁情报,恶意软件,安全意识,应急响应,社会工程学
某集团被“银狐”钉钉供应链投毒钓鱼全过程
原创
泰若星环主编 泰若星环主编
TERRA星环安全团队
2026年4月21日 17:59 贵州
在小说阅读器读本章
去阅读
前言
现在“银狐”已经不是指某一黑灰产团队了,已经成为一种攻击方式了
#
攻击链
仿冒官网 → 下载恶意安装包 → 木马植入 → 远程控制 → 钉钉群发钓鱼 → 信息窃取详细流程
1. 供应链投毒
攻击者搭建仿冒钉钉官网:
apps-dingding.com.cn
员工通过搜索引擎进入仿冒站,下载恶意安装包(托管于香港阿里云 OSS)
https://dxiazai01.oss-cn-hongkong.aliyuncs.com/dingtalk_down2.5.6.zip
2. 木马植入
运行安装包后,自动释放木马程序植入系统,为伪造的网易云音乐,做了相关免杀
- 进程:cmd.exe(PID: 11972)
- C2 地址:·112.213.106.27(中国香港)
- 落地路径:(伪装成网易云音乐目录)
C:\ProgramFiles\NetEase\CloudHusic\
3. 远程控制利用
员工离开就餐午休,电脑未锁屏,钉钉在线。
攻击者通过远程控制通道操作钉钉,群发钓鱼消息:
关于个人补贴申报的通知,请各位员工点击链接进行申报链接:
https://xxx.cn/发信账号为员工本人,同事信任度高。
4. 钓鱼收网
同事点击链接进入伪造的财政补贴申领页面,填写:
- 姓名
- 身份证号
- 手机号 – 银行卡号
敏感信息直接落入攻击者手中。
•银行卡余额
•银行卡密码
提交后导致敏感信息泄露
抓包拿到填写的信息url
通过遍历id可以发现其他被骗人员信息
5. 应急处置
安全人员发现异常,完成以下操作:
- 确认 xxx.cn 为钓鱼网站
- 定位木马进程并终止
- 追溯下载记录,确认攻击入口
- 断网、查杀、清理
攻击特征归因
根据攻击手法和 IP 溯源,判定为银狐团伙:
- 仿冒官网投放恶意程序
- 控制终端后借助 IM 工具实施诈骗
- 以”补贴申领““政策通知”为主题提高诱骗成功率
攻击成功要素
| | |
- 入口 – 未识别仿冒域名(apps-dingding.com.cn)
- 离开未锁屏,通讯账号在线
- 同事信任发信人身份特殊,可信度高
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:TERRA星环安全团队 泰若星环主编 泰若星环主编《某集团被“银狐”钉钉供应链投毒钓鱼全过程》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论