利用 DNS 情报缓解报税季的网络威胁
每年报税季,美国纳税人都会成为网络攻击者的目标,黑客试图拦截他们的付款并将资金据为己有。虽然报税截止日------2025年4月15日------已经过去,但申请延期的纳税人仍可在2025年10月15日前完成缴税,且不会被罚款。
不过,目前仍在持续进行的以税务为主题的网络钓鱼攻击,可能会影响尚未报税的用户。微软的网络安全研究人员识别出11个域名和1个 IP 地址为该类攻击的威胁指标(IoC)。WhoisXML API 在此基础上扩展了 IoC 列表,并发现了多个可能相关的数字足迹,包括:
-
2 个据称的受害者 IP 记录(来自 Internet Abuse Signal Collective),归属于同一个自治系统号(ASN)
-
153 个与电子邮件相关的域名,其中 1 个已被判定为恶意
-
13 个附加 IP 地址,其中 11 个已出现在其他恶意活动中
-
2 个 IP 连接域名
-
197 个基于字符串匹配的相关域名
税务主题攻击 IoC 深度分析
我们对2025年的税务钓鱼攻击进行了深入分析。首先使用 批量 WHOIS API |轻松访问批量 WHOIS 数据 | WhoisXML API 对11个 IoC 域名进行查询,发现其中8个仍有可用的当前 WHOIS 记录。进一步分析显示:
- 这8个域名的创建时间从2002年至2025年不等,其中2002年和2022年各1个、2024年4个、2025年2个
-
5家注册商管理了这些域名,NiceNIC、OwnRegistrar 和 PDR 各负责2个,其余由 Digital for IT & Communications 和 WEBCC 各负责1个
-
域名注册地分布于4个国家,美国最多(5个),其余分别注册于利比亚、马来西亚和巴基斯坦
使用 DNS 大事记 API | WhoisXML API 对这11个域名进行查询后发现,其中8个域名在历史上共出现过273次解析记录。其中,historyofpia[.]com 是最早被解析的,首次解析日期为2017年2月7日。以下是其他三个域名的历史解析详情:
| IoC 域名 | 解析次数 | 首次解析时间 |
|---|---|---|
| acusense[.]ae | 15 | 2024年2月26日 |
| muuxxu[.]com | 4 | 2024年12月10日 |
| proliforetka[.]com | 14 | 2025年1月31日 |
我们还使用 IP 地理定位API |准确的IP地址定位 | WhoisXML API 查询了唯一被标记为 IoC 的 IP 地址,结果显示该地址位于哥伦比亚,由 Telmex Colombia 运营。但对该 IP 进行的 DNS Chronicle API 查询未发现解析记录。
此外,我们还分析了 IASC 提供的 sample netflow 数据,进一步调查了命令与控制(C&C)IP 地址 181[.]49[.]105[.]59 。数据显示,两条可疑的受害者 IP 记录可能归属于同一家互联网服务提供商 Energy Group Networks,且由 ASN 18779 运营。
IoC 扩展分析结果
了解初步 IoC 后,我们继续追踪其 DNS 关联线索。
使用 用于历史 WHOIS 数据访问和轻松集成的 API | WhoisXML API 查询11个 IoC 域名后,发现其中7个域名的历史记录中包含17个邮箱地址。其中8个为公开邮箱。我们利用 Reverse WHOIS API 对这8个公开邮箱进行回查,尽管它们未出现在当前 WHOIS 记录中,但都在历史记录中出现过。
其中2个邮箱由于与大量域名相关,可能为域名投资行为,已排除不纳入本次分析。其余6个邮箱共关联出153个域名(去重并排除原始IoC后),即为"与邮箱相关的域名"。
我们将这153个域名提交至 Threat Intelligence API 进行分析,发现其中一个域名 0913u[.]com 已被归类为通用威胁源。
我们还使用 DNS Lookup API 对11个 IoC 域名进行查询,发现其中6个仍有活动的 IP 解析,共关联13个独立的 IP 地址,这些地址与最初标记为 IoC 的 IP 并不重合。