全球网络钓鱼行动中短信网络钓鱼三巨头涉嫌攻击 194,000 个恶意域名

根据 Palo Alto Networks Unit 42 的最新发现，自 2024 年 1 月 1 日以来，大规模持续短信网络钓鱼活动背后的威胁行为者已被归咎于超过 194,000 个恶意域名，目标是全球范围内的广泛服务。

安全研究人员 Reethika Ramesh、Zhanhao Chen、Daiping Liu、Chi-Wei Liu、Shehroze Farooqi 和 Moe Ghasemisharif 表示：“尽管这些域名是通过香港注册商注册的，并使用中国域名服务器，但攻击基础设施主要托管在美国流行的云服务上。 ”

此次活动被归咎于一个与中国有关联的组织，即短信网络钓鱼三合会，该组织以向移动设备发送大量欺诈性收费违规和包裹误送通知而闻名，以诱骗用户立即采取行动并提供敏感信息。

据《华尔街日报》最近的报道，这些活动已被证明是有利可图的，在过去三年中，威胁行为者赚取了超过 10 亿美元。

DFIR 保留服务
Fortra 在本周早些时候发布的一份报告中表示，与短信网络钓鱼三合会相关的网络钓鱼工具包正越来越多地被用来瞄准经纪账户，以获取银行凭证和身份验证码，与去年同期相比，2025 年第二季度针对这些账户的攻击增加了五倍。

安全研究员亚历克西斯·奥伯表示： “一旦被攻陷，攻击者就会利用‘偷梁换柱’的策略操纵股市价格。这些方法几乎不会留下任何书面记录，进一步加剧了这种威胁带来的金融风险。”

据称，该对抗团体已从专门的网络钓鱼工具包供应商演变为一个“高度活跃的社区”，汇集了不同的威胁行为者，每个威胁行为者都在网络钓鱼即服务 (PhaaS) 生态系统中发挥着至关重要的作用。

这包括网络钓鱼工具包开发商、数据经纪人（出售目标电话号码）、域名卖家（注册一次性域名用于托管网络钓鱼网站）、托管服务提供商（提供服务器）、垃圾邮件发送者（向受害者大规模发送消息）、活跃度扫描器（验证电话号码）和黑名单扫描器（根据已知黑名单检查网络钓鱼域名以进行轮换）。


Smishing Triad 的 PhaaS 生态系统
Unit 42 的分析显示，在 136,933 个根域名中，近 93,200 个（68.06%）是在香港注册商 Dominet (HK) Limited 旗下注册的。以“com”为前缀的域名占绝大多数，尽管过去三个月“gov”域名的注册量有所增加。

在已识别的域名中，有 39,964 个（29.19%）的活跃时间不超过两天，其中 71.3% 的活跃时间不超过一周，其中 82.6% 的活跃时间不超过两周，不到 6% 的域名有效期超过注册后的三个月。

该网络安全公司指出：“这种快速的域名流失清楚地表明，该活动的策略依赖于不断注册新域名来逃避检测”，并将解析中使用的 194,345 个完全限定域名 (FQDN) 添加到多达 43,494 个唯一 IP 地址中，其中大多数位于美国并托管在 Cloudflare ( AS13335 ) 上。

CIS 构建套件
基础设施分析的其他一些显著方面如下：

美国邮政服务 (USPS) 是被冒充次数最多的服务，拥有 28,045 个 FQDN。
使用收费服务诱饵的活动是被模仿最多的类别，大约有 90,000 个专用网络钓鱼 FQDN。
产生流量最大的域名的攻击基础设施位于美国，其次是中国和新加坡。
这些活动模仿了俄罗斯、波兰和立陶宛的银行、加密货币交易所、邮政和快递服务、警察部队、国有企业、电子收费、拼车应用程序、酒店服务、社交媒体和电子商务平台。
在冒充政府服务的网络钓鱼活动中，用户经常被重定向到声称未付通行费和其他服务费的登陆页面，在某些情况下甚至利用 ClickFix 诱饵诱骗用户以完成 CAPTCHA 检查为借口运行恶意代码。

“此次冒充美国收费电话服务的短信钓鱼活动并非孤立事件，”Unit 42 表示。“相反，这是一场覆盖全球的大规模攻击活动，冒充了不同行业的众多服务。这一威胁高度分散。攻击者每天都在注册和攻击数千个域名。”