112目錄Contents 3 51.1、第三季度黑手機(jī)卡新增量分析 51.2、第三季度風(fēng)險(xiǎn)IP捕獲量分析 81.3、第三季度風(fēng)險(xiǎn)郵箱捕獲量分析 101.4、第三季度網(wǎng)絡(luò)洗錢資源分析 13 182.1、黑灰產(chǎn)接入AI機(jī)器人，社交引流話術(shù)更智能 182.2、AI發(fā)展使得換臉成本降低，人臉驗(yàn)證安全性需警惕 192.3、黑灰產(chǎn)賬號注冊及繞過檢測形式愈加多樣化 212.4、黑灰產(chǎn)結(jié)合貸款平臺(tái)和虛擬貨幣，轉(zhuǎn)移洗錢風(fēng)險(xiǎn) 222.5、黑灰產(chǎn)利用云手機(jī)平臺(tái)提供的iOS云設(shè)備，降低iOS群控成本 25 28 353前言近年來黑灰產(chǎn)業(yè)鏈不斷成熟壯大，其攻擊技術(shù)、資源快速更新，企業(yè)與黑產(chǎn)的對抗愈發(fā)激烈?！懊媾R哪些黑產(chǎn)攻擊”、“黑產(chǎn)會(huì)使用哪些技術(shù)/資源進(jìn)行攻擊”、“面臨哪些風(fēng)險(xiǎn)”等問題仍然困擾著企業(yè)內(nèi)部安全運(yùn)營人員。依托于黑產(chǎn)情報(bào)的長期監(jiān)測、挖掘以及黑產(chǎn)攻防研究，威脅獵人針對企業(yè)潛在風(fēng)險(xiǎn)，從2023年第三季度黑灰產(chǎn)攻擊資源、業(yè)務(wù)欺詐場景、數(shù)據(jù)泄露場景等維度進(jìn)行全面梳理及分析，期望幫助更多企業(yè)深入了解黑灰產(chǎn)業(yè)，有效防控各類攻擊風(fēng)險(xiǎn)，避免損失。012023年第三季度012023年第三季度45一、2023年第三季度黑灰產(chǎn)攻擊資源分析據(jù)威脅獵人業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)平臺(tái)數(shù)據(jù)顯示，2023年第三季度黑手機(jī)卡捕獲總量較第二季度下降26.27%。經(jīng)威脅獵人情報(bào)專家分析，持續(xù)下降的主要原因是：8月初某頭部接碼平臺(tái)被關(guān)停，導(dǎo)致大量黑手機(jī)卡供應(yīng)商和使用黑手機(jī)卡的黑產(chǎn)團(tuán)伙無法正常供應(yīng)和使用黑手機(jī)卡，從而影響了黑手機(jī)號的流通。受此影響，第三季度黑手機(jī)卡“每月新增量”亦持續(xù)下降。62023年第三季度攔截卡新增數(shù)量持續(xù)下降，第三季度攔截卡新增數(shù)量僅為第二季度的47%。經(jīng)威脅獵人情報(bào)專家分析，下降的主要原因是：自2023年4月起，三個(gè)頭部接碼平臺(tái)提供的新攔截卡數(shù)量持續(xù)減少，進(jìn)而導(dǎo)致新增的攔截卡數(shù)量持續(xù)下降。7據(jù)威脅獵人業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)平臺(tái)數(shù)據(jù)顯示，2023年第三季度，192號段黑手機(jī)卡的使用量是第二季度的2.23倍。經(jīng)威脅獵人情報(bào)專家分析，第三季度新增量較大的主要原因是：自第一季度起，各黑卡供應(yīng)渠道持續(xù)投入新的192號段手機(jī)卡。同時(shí)自第三季度開始，有4個(gè)供應(yīng)渠道進(jìn)一步增大192號段手機(jī)卡的投入規(guī)模，使得第三季度新增量進(jìn)一步增加。82023年第三季度風(fēng)險(xiǎn)IP捕獲總量較第二季度上升2.8%，數(shù)據(jù)并未出現(xiàn)明顯波動(dòng)。威脅獵人研究人員在第三季度發(fā)現(xiàn)正常用戶IP出現(xiàn)在代理IP平臺(tái)的IP池中，并呈現(xiàn)出明顯上升的趨勢。該情況會(huì)導(dǎo)致一個(gè)IP在短時(shí)間內(nèi)的操作行為同時(shí)包含正常用戶行為及黑產(chǎn)作惡行為。這類IP在業(yè)務(wù)上的表現(xiàn)為：大部分時(shí)間是正常用戶進(jìn)行操作，如點(diǎn)擊、充值、瀏覽等行為均正常，少量時(shí)間會(huì)出現(xiàn)短暫的作惡行為。因此對于甲方風(fēng)控來說，平臺(tái)會(huì)認(rèn)定該用戶為正常用戶，進(jìn)而忽視其短暫的作惡行為，給黑產(chǎn)可乘之機(jī)。9同時(shí)，威脅獵人研究員溯源到了背后的作惡工具，這類工具將木馬偽裝成正常軟件供用戶下載使用。用戶安裝并首次運(yùn)行工具后，木馬即可上傳正常用戶的IP至代理平臺(tái)供黑產(chǎn)作惡使用。以捕獲到的一個(gè)“xx加速器”工具為例，其作惡流程為：（1）正常用戶在電腦上安裝"xx加速器"后，程序釋放木馬文件到指定位置；（2）木馬對特定進(jìn)程進(jìn)行注入，劫持用戶IP進(jìn)行任意操作；（3）木馬通過特定方式維持其運(yùn)行權(quán)限，達(dá)到“加速器關(guān)閉后木馬仍能運(yùn)行”的目（4）運(yùn)行真正的加速器程序，供用戶使用。研究人員通過技術(shù)分析提取出三個(gè)可執(zhí)行程序，分別記作樣本A、B、C：樣本A：一個(gè)實(shí)現(xiàn)木馬加載功能的可執(zhí)行程序樣本B：一個(gè)維持木馬駐留權(quán)限的可執(zhí)行程序樣本C：一個(gè)真實(shí)的加速器客戶端樣本A：通過分析，從功能上可以判定樣本A是一個(gè)木馬加載器，它具備解密二進(jìn)制代碼、內(nèi)存加載PE的功能。樣本B：通過分析，從功能上可以判定樣本B的主要功能是創(chuàng)建服務(wù)，維持木馬駐留權(quán)限。2023年第三季度，威脅獵人持續(xù)覆蓋及監(jiān)測臨時(shí)郵箱網(wǎng)站，統(tǒng)計(jì)發(fā)現(xiàn)第三季度風(fēng)險(xiǎn)郵箱捕獲總量較第二季度上升71.16%。在海外，電子郵箱注冊依舊是主要的賬號注冊方式之一。而臨時(shí)郵箱由于具有低成本、可匿名、一次性等特點(diǎn)，成為了黑產(chǎn)對企業(yè)海外業(yè)務(wù)實(shí)施攻擊的首選物料。威脅獵人研究人員針對捕獲的46737個(gè)有效臨時(shí)郵箱域名樣本進(jìn)行MX、IP及域名注冊信息分析，發(fā)現(xiàn)有66.65%（共計(jì)31150個(gè)）郵箱域名均存在特征共性，能關(guān)聯(lián)到多個(gè)作惡團(tuán)伙。對上述31150個(gè)郵箱域名進(jìn)行團(tuán)伙分類，可整理出六個(gè)黑產(chǎn)團(tuán)伙，且相同團(tuán)伙下的多個(gè)臨時(shí)郵箱往往呈現(xiàn)出特征的聚集性。有的團(tuán)伙是“強(qiáng)關(guān)聯(lián)”特征，只要出現(xiàn)就可以判定是來自同一團(tuán)伙；有的團(tuán)伙是“弱關(guān)聯(lián)”特征，需要多個(gè)特征結(jié)合來判定：以關(guān)聯(lián)臨時(shí)郵箱最多的一個(gè)團(tuán)伙為例：有10085個(gè)郵箱域名解析到同一MX（mail.***.kr郵箱后綴基本為xxx.kr，可直接判定來自同一團(tuán)伙。該團(tuán)伙關(guān)聯(lián)到的郵箱特征如下：1.4.1第三季度網(wǎng)絡(luò)洗錢資源各渠道中，第三方支付平臺(tái)占比達(dá)2023年第三季度洗錢資源渠道中，占比最高的為第三方支付平臺(tái)賬號，其次為虛擬貨幣交易平臺(tái)賬號、銀行卡、數(shù)字人民幣賬號。1.4.2第三季度數(shù)字人民幣捕獲量在9月出現(xiàn)明顯增長，月增幅超威脅獵人發(fā)現(xiàn)黑產(chǎn)利用數(shù)字人民幣進(jìn)行洗錢的情況整體呈上升趨勢，尤其是9月，月增幅超過了270%。經(jīng)威脅獵人情報(bào)專家分析，出現(xiàn)較大增幅的主要原因是：9月份出現(xiàn)了大量新的支持?jǐn)?shù)字人民幣洗錢的四方支付平臺(tái)，較8月份增加了39個(gè)平臺(tái)。此外，雖然第二季度的四方支付平臺(tái)數(shù)量與第一季度相近，但威脅獵人情報(bào)專家發(fā)現(xiàn)：自5月起，已有部分四方支付平臺(tái)開始增加數(shù)字人民幣這一渠道的洗錢頻率，使得數(shù)字人民幣洗錢記錄捕獲數(shù)開始上升。銀行對公賬戶具有收款額度大、轉(zhuǎn)賬次數(shù)多等特點(diǎn)，這使得“對公賬戶”常常作為黑錢轉(zhuǎn)賬的集中點(diǎn)及發(fā)散點(diǎn)，在黑產(chǎn)洗錢鏈條中擔(dān)任極其重要的位置。在打擊洗錢犯罪過程中，銀行對涉及洗錢的對公賬戶進(jìn)行風(fēng)控也是十分重要的一環(huán)。因?yàn)橐粋€(gè)對公賬戶的收款額度往往在幾百萬到幾千萬不等，及時(shí)發(fā)現(xiàn)涉嫌洗錢的對公賬戶并進(jìn)行針對性風(fēng)控，往往能中斷某個(gè)黑產(chǎn)團(tuán)伙的某一洗錢鏈條。自2023年3月起，威脅獵人持續(xù)覆蓋及監(jiān)測黑產(chǎn)在洗錢過程中所使用的銀行對公賬戶資源，發(fā)現(xiàn)涉及洗錢的對公賬戶數(shù)量持續(xù)上升。022023年第三季度022023年第三季度二、2023年第三季度業(yè)務(wù)欺詐場景分析威脅獵人情報(bào)研究員在第三季度發(fā)現(xiàn)，黑灰產(chǎn)在社交引流場景已經(jīng)接入AI機(jī)器人，使得引流聊天更智能。以捕獲的一款自動(dòng)聊天工具“AiTuLing”為例，該工具除了常規(guī)的“基于預(yù)設(shè)話術(shù)進(jìn)行引流”外，還支持接入AI機(jī)器人，同時(shí)該工具支持市面上近百個(gè)社交平臺(tái)的自動(dòng)引流。與傳統(tǒng)的預(yù)設(shè)話術(shù)進(jìn)行回復(fù)引流相比，兩者的特點(diǎn)如下：在使用成本上，AI機(jī)器人的接入成本也極為低廉，最低只需19.9元/月即可。目前此類引流工具多被黑灰產(chǎn)用于社交場景上的引流下載、色情詐騙目標(biāo)的初步篩選，對社交平臺(tái)的內(nèi)容風(fēng)控提出了新的挑戰(zhàn)。針對近期熱度較高的基于AI換臉技術(shù)進(jìn)行詐騙的案例，威脅獵人研究人員對相關(guān)作惡工具及作惡流程進(jìn)行了研究，并最終成功繞過某銀行的人臉認(rèn)證。研究發(fā)現(xiàn)，黑灰產(chǎn)在作惡時(shí)使用的工具如下：威脅獵人研究員的攻擊復(fù)現(xiàn)流程如下：（1）首次登錄，測試人員使用自己的人臉模擬攻擊者登錄受害者銀行賬號，未成功通過人臉認(rèn)證。（2）第二次登錄，測試人員使用受害者的AI換臉視頻，并通過特定方式使得“換臉視頻的畫面”作為登錄設(shè)備攝像頭獲取到的畫面，再次登錄受害者的銀行賬號，最終通過人臉認(rèn)證并成功登錄。賬號是黑灰產(chǎn)針對平臺(tái)實(shí)施攻擊的基礎(chǔ)，但由于APP之間登錄方式不同、APP的風(fēng)控程度松緊不一等原因，不同的“賬號使用方法”會(huì)使得賬號在平臺(tái)上的使用壽命長短不一。為了最大限度延遲作惡賬號的使用時(shí)間，黑產(chǎn)針對不同的情況推出不同的賬號注冊、繞過檢測的方法。以下為威脅獵人整理的部分黑產(chǎn)作惡賬號使用方式：以備份包號登錄社交APP為例，其使用流程如下：威脅獵人研究員在2023年第二季度發(fā)現(xiàn)部分黑產(chǎn)開始利用貸款平臺(tái)進(jìn)行洗錢，涉及貸款平臺(tái)27家，在第三季度發(fā)現(xiàn)受影響平臺(tái)上升至41家，較第二季度增長51.85%。黑產(chǎn)將貸款平臺(tái)與虛擬貨幣結(jié)合，借助第三者協(xié)助，將貸款平臺(tái)貸出來的錢用于購買較難監(jiān)管的虛擬貨幣，再把黑錢作為還貸資金，轉(zhuǎn)賬給貸款平臺(tái)，將洗錢的風(fēng)險(xiǎn)轉(zhuǎn)嫁至貸款平臺(tái)處。在過往的洗錢方式中，會(huì)存在黑產(chǎn)直接使用黑錢在虛擬貨幣交易平臺(tái)中大量購買虛擬貨幣的情況，這使得黑產(chǎn)的虛擬貨幣賬戶很容易被交易平臺(tái)發(fā)現(xiàn)并進(jìn)行風(fēng)控。基于“將貸款平臺(tái)與虛擬貨幣結(jié)合”的方式，黑產(chǎn)能將購買虛擬貨幣這一操作轉(zhuǎn)移到第三者身上，同時(shí)由于第三者用于購買虛擬貨幣的資金來源渠道是正常的，能極大降低虛擬貨幣交易平臺(tái)察覺的可能性。關(guān)于此類洗錢方式，威脅獵人研究員總結(jié)的流程如下：該洗錢方式帶來的最終結(jié)果是：威脅獵人研究員發(fā)現(xiàn)部分黑產(chǎn)使用IOS云手機(jī)進(jìn)行作惡，針對此情況，研究人員對目前市面上提供IOS云手機(jī)服務(wù)的云手機(jī)平臺(tái)進(jìn)行了相關(guān)調(diào)研。調(diào)研結(jié)果如下：iOS云手機(jī)作惡帶來的風(fēng)險(xiǎn)如下：（1）黑產(chǎn)獲取iOS設(shè)備進(jìn)行攻擊作惡的成本降低。以往進(jìn)行攻擊，往往需要購買幾百到上千元不等的真實(shí)iPhone，而現(xiàn)在只需花費(fèi)幾十元/月租用iOS云手機(jī)即可。（2）節(jié)省了黑產(chǎn)安裝、配置作惡環(huán)境所需的時(shí)間，提高了黑產(chǎn)的攻擊效率。購買的iOS云手機(jī)已越獄、能安裝不同的越獄插件，還自帶改機(jī)工具，節(jié)省黑產(chǎn)安裝、配置作惡環(huán)境的時(shí)此外，由于iOS系統(tǒng)對應(yīng)用權(quán)限申請的嚴(yán)格限制，使得大部分互聯(lián)網(wǎng)公司在iOS設(shè)備上獲取設(shè)備信息的難度遠(yuǎn)大于安卓端設(shè)備，這在一定程度上可能會(huì)使得平臺(tái)在iOS設(shè)備上進(jìn)行風(fēng)控識(shí)別的難度更高，具體表現(xiàn)為：相同的攻擊流程下，黑產(chǎn)使用iOS設(shè)備進(jìn)行攻擊被平臺(tái)發(fā)現(xiàn)的可能性更低，導(dǎo)致黑灰產(chǎn)把iOS云手機(jī)作為主要的攻擊設(shè)備之一。針對此類情況，威脅獵人建議企業(yè)應(yīng)及時(shí)獲取此類平臺(tái)樣本，進(jìn)行相關(guān)樣本分析和防御。032023年第三季度032023年第三季度三、2023年第三季度數(shù)據(jù)泄漏場景分析2023年第三季度，威脅獵人風(fēng)險(xiǎn)情報(bào)平臺(tái)監(jiān)測到數(shù)據(jù)泄露相關(guān)情報(bào)7300多萬條，梳理出有效的數(shù)據(jù)泄露事件共計(jì)5110起，較第二季度增加153%。第三季度發(fā)生的數(shù)據(jù)泄露類型仍以用戶信息為主，占比達(dá)92.74%。此外還有內(nèi)部文件文檔、內(nèi)部員工信息及敏感代碼等泄露信息類型。從行業(yè)分布來看，第三季度數(shù)據(jù)泄露事件涉及多個(gè)行業(yè)，其中金融和物流行業(yè)依舊是重災(zāi)區(qū)。航旅行業(yè)的數(shù)據(jù)泄露事件數(shù)較第二季度增加253起，增幅337.33%。經(jīng)威脅獵人情報(bào)專家分析，持續(xù)上升的主要原因是：受旅游市場復(fù)蘇的影響，國內(nèi)國際航班火爆，黑產(chǎn)圍繞航空行業(yè)的攻擊持續(xù)不斷增多，特別是針對各大航空企業(yè)的供應(yīng)鏈、代理商等環(huán)節(jié)。最終帶來的影響是大量不法分子利用航空數(shù)據(jù)進(jìn)行詐騙。2023年8月，威脅獵人在Telegram上發(fā)現(xiàn)國內(nèi)某金融投資企業(yè)的員工郵箱信息泄露，導(dǎo)致員工被下游黑產(chǎn)進(jìn)行郵件釣魚詐騙。據(jù)威脅獵人研究員分析，本次數(shù)據(jù)泄露主要原因?yàn)椋涸撈髽I(yè)郵箱存在API安全漏洞，黑產(chǎn)借助漏洞暴力破解該企業(yè)郵箱并盜取員工郵箱信息。2023年8月，威脅獵人安全研究員發(fā)現(xiàn)某招聘網(wǎng)站簡歷遭第三方平臺(tái)違規(guī)存儲(chǔ)，涉及簡歷總數(shù)超過20萬，其中包含大量招聘者個(gè)人敏感信息。第三方平臺(tái)將爬取到的簡歷違規(guī)存儲(chǔ)到了自己租用的服務(wù)器上，并提供工具供其平臺(tái)用戶查看爬取的簡歷信息。由于工具內(nèi)置了訪問服務(wù)器數(shù)據(jù)的邏輯，包括數(shù)據(jù)庫地址、賬號密碼等，且工具可公開下載，故職業(yè)黑客能對該工具進(jìn)行分析，獲取數(shù)據(jù)庫地址、數(shù)據(jù)庫賬號密碼等信息，輕松盜取服務(wù)器上的所有簡歷。因此，威脅獵人建議企業(yè)慎用小眾開發(fā)的管理軟件和工具，由于對數(shù)據(jù)存儲(chǔ)的安全系數(shù)欠缺，很可能被獲取到敏感數(shù)據(jù)。04結(jié)語04結(jié)語四、寫在最后黑灰產(chǎn)日漸猖獗，讓各行業(yè)企業(yè)深受其害。從2023年第三季度黑灰產(chǎn)大數(shù)據(jù)整體趨勢來看，企業(yè)需要重點(diǎn)關(guān)注以下風(fēng)險(xiǎn)：這類IP在業(yè)務(wù)上的表現(xiàn)為：大部分時(shí)間是正常用戶進(jìn)行操作，如點(diǎn)擊、充值、瀏覽等行為均正常，少量時(shí)間會(huì)出現(xiàn)短暫的作惡行為。因此對于甲方風(fēng)控來說，平臺(tái)會(huì)認(rèn)定該用戶為正常用戶，進(jìn)而忽視其短暫的作惡行為，給黑產(chǎn)可乘之機(jī)。①對社交平臺(tái)來說，AI聊天技術(shù)的應(yīng)用會(huì)使得黑產(chǎn)在進(jìn)行引流操作時(shí)更難以識(shí)別，而AI換臉技術(shù)則會(huì)讓黑產(chǎn)使用視頻聊天這一功能進(jìn)行詐騙的成功率大幅上升。②對于金融、支付等平臺(tái)來說，大部分平臺(tái)目前都將人臉認(rèn)證作為轉(zhuǎn)賬等敏感操作的安全驗(yàn)證措施之一，AI換臉技術(shù)的普及亦會(huì)使得平臺(tái)人臉認(rèn)證被繞過，用戶資金被盜的情況頻發(fā)。該情況會(huì)使金融平臺(tái)的用戶遭遇詐騙的概率大幅上升，備受監(jiān)管壓力的同時(shí)，給平臺(tái)帶來負(fù)面輿論影響。針對以上作惡事件，企業(yè)應(yīng)及時(shí)了解其作惡流程及細(xì)節(jié)，并結(jié)合自身業(yè)務(wù)場景建立具體的風(fēng)控規(guī)則。此外，企業(yè)也需要意識(shí)到與外部黑產(chǎn)的對抗是動(dòng)態(tài)的、持續(xù)性的，故此時(shí)可依托第