“MartyMcFly”调查:追踪anchors-chain
字数 2176 2025-08-22 18:37:15

网络安全教学文档:MartyMcFly威胁活动分析

1. 背景概述

MartyMcFly是一个针对海军工业的威胁活动组织,主要攻击目标包括:

  • 意大利海军
  • 德国、西班牙、印度等多个国家的相关机构
  • 欧洲海军最大合作商Fincantieri公司(攻击被提前阻止)

2. 攻击手法分析

2.1 恶意电子邮件攻击

特征:

  • 发件人伪装:alice.wu@anchors-chain.com
  • 主题:Quotation on Marine Engine & TC Complete
  • SMTP头部异常:发件人与域数据不一致
  • 实际发送域:jakconstruct.com(卡塔尔AK建筑公司所有,可能被滥用)

2.2 域名分析

攻击者注册的域名:

  • anchors-chain.com
    • 注册时间:2018年6月21日
    • 注册商:NameSilo, LLC
    • 初始解析IP:188.241.39.10(Fast Serv Inc.所有)

域名仿冒技巧:

  • 仿冒合法公司"Asian Star Anchor Chain Co. Ltd."(亚星星锚链有限公司)
  • 区别仅在于字母"s"的位置(合法域名可能为"anchor-chain.com")

2.3 恶意附件分析

附件特征:

  • 文件名:Marine_Engine_Spare__Parts_Order.pdf
  • 原始创建工具:Microsoft Word 2013
  • 转换方式:通过Online2PDF.com在线转换为PDF
  • 无直接漏洞利用代码,但包含诱导链接

诱导技术:

  • 声称需要"Adobe在线保护"才能打开
  • 嵌入短链接:http://ow.ly/laqJ30lt4Ou(已因垃圾邮件被停用)

3. 攻击链分析

3.1 重定向流程

  1. 初始链接:http://ow.ly/laqJ30lt4Ou
  2. 第一次重定向:http://ow.ly/Kzr430lt4NV
  3. 第二次重定向:HTTPS资源wvpznpgahbtoobu.usa.cc

3.2 C2基础设施

使用的域名:

  • wvpznpgahbtoobu.usa.cc
  • xtyenvunqaxqzrm.usa.cc

服务器信息:

  • IP地址:188.165.199.85
  • 托管商:OVH SAS
  • SSL证书:由"cPanel, Inc" CA发布
  • 证书有效期:自2018年8月16日

3.3 恶意活动证据

xtyenvunqaxqzrm.usa.cc曾被用于:

  • 托管钓鱼页面https://xtyenvunqaxqzrm.usa.cc/maesklines/Maerskline/maer.php
  • 仿冒马士基(Maersk)航运公司门户登录页面
  • 文件login.html(Hash: 4cd270fd943448d595bfd6b0b638ad10)被VirusTotal归类为网络钓鱼模板

4. 攻击者特征

4.1 目标选择

  • 专注于海军及相关工业
  • 精心选择与目标业务相关的伪装身份

4.2 社会工程技巧

  1. 冒充海军服务提供商和卫星公司
  2. 注册与知名公司相似的域名
  3. 邮件格式高度仿真真实业务邮件
  4. 使用目标行业相关术语和内容

4.3 工具使用

  • 主要使用Microsoft Word 2013创建文档
  • 通过在线工具转换文件格式
  • 利用短链接服务隐藏真实URL

5. 防御建议

5.1 邮件安全措施

  • 实施SMTP头部一致性检查
  • 对来自外部域的可疑邮件加强过滤
  • 培训员工识别仿冒域名

5.2 终端防护

  • 监控PDF文档中的外部链接行为
  • 阻止对可疑TLD(如.usa.cc)的访问
  • 分析文档元数据(如创建工具信息)

5.3 网络防护

  • 监控与已知恶意IP(如188.165.199.85)的连接
  • 分析SSL证书中的CN字段异常
  • 阻止已知恶意文件哈希

6. 威胁指标(IOC)

6.1 域名

  • anchors-chain.com
  • jakconstruct.com
  • wvpznpgahbtoobu.usa.cc
  • xtyenvunqaxqzrm.usa.cc

6.2 电子邮件信息

  • 发件人:alice.wu@anchors-chain.com
  • 主题:Quotation on Marine Engine & TC Complete

6.3 URL

  • http://ow.ly/laqJ30lt4Ou
  • http://ow.ly/Kzr430lt4NV
  • https://wvpznpgahbtoobu.usa.cc/wvpznpgahbtoobu/usaadobe/lexorder.php

6.4 文件哈希

  • 7c9576123a35749c1699f53a1206577e
  • 4cd270fd943448d595bfd6b0b638ad10

7. 调查方法论

  1. 邮件分析:检查SMTP头部、发件人域、附件
  2. 域名调查:WHOIS查询、历史解析记录
  3. 动态分析:沙盒执行监控网络行为
  4. SSL证书分析:验证CN字段与证书颁发者
  5. OSINT整合:关联已知威胁情报

8. 关联分析

虽然无法确认所有攻击均为MartyMcFly所为,但存在以下共同点:

  1. 目标行业一致性(海军及相关工业)
  2. 相似的域名仿冒手法
  3. 使用Microsoft Word创建文档
  4. 精心构造的社会工程内容
  5. 多阶段重定向的攻击链设计
网络安全教学文档:MartyMcFly威胁活动分析 1. 背景概述 MartyMcFly是一个针对海军工业的威胁活动组织,主要攻击目标包括: 意大利海军 德国、西班牙、印度等多个国家的相关机构 欧洲海军最大合作商Fincantieri公司(攻击被提前阻止) 2. 攻击手法分析 2.1 恶意电子邮件攻击 特征: 发件人伪装: alice.wu@anchors-chain.com 主题: Quotation on Marine Engine & TC Complete SMTP头部异常:发件人与域数据不一致 实际发送域: jakconstruct.com (卡塔尔AK建筑公司所有,可能被滥用) 2.2 域名分析 攻击者注册的域名: anchors-chain.com 注册时间:2018年6月21日 注册商:NameSilo, LLC 初始解析IP:188.241.39.10(Fast Serv Inc.所有) 域名仿冒技巧: 仿冒合法公司"Asian Star Anchor Chain Co. Ltd."(亚星星锚链有限公司) 区别仅在于字母"s"的位置(合法域名可能为"anchor-chain.com") 2.3 恶意附件分析 附件特征: 文件名: Marine_Engine_Spare__Parts_Order.pdf 原始创建工具:Microsoft Word 2013 转换方式:通过Online2PDF.com在线转换为PDF 无直接漏洞利用代码,但包含诱导链接 诱导技术: 声称需要"Adobe在线保护"才能打开 嵌入短链接: http://ow.ly/laqJ30lt4Ou (已因垃圾邮件被停用) 3. 攻击链分析 3.1 重定向流程 初始链接: http://ow.ly/laqJ30lt4Ou 第一次重定向: http://ow.ly/Kzr430lt4NV 第二次重定向:HTTPS资源 wvpznpgahbtoobu.usa.cc 3.2 C2基础设施 使用的域名: wvpznpgahbtoobu.usa.cc xtyenvunqaxqzrm.usa.cc 服务器信息: IP地址:188.165.199.85 托管商:OVH SAS SSL证书:由"cPanel, Inc" CA发布 证书有效期:自2018年8月16日 3.3 恶意活动证据 xtyenvunqaxqzrm.usa.cc 曾被用于: 托管钓鱼页面 https://xtyenvunqaxqzrm.usa.cc/maesklines/Maerskline/maer.php 仿冒马士基(Maersk)航运公司门户登录页面 文件 login.html (Hash: 4cd270fd943448d595bfd6b0b638ad10)被VirusTotal归类为网络钓鱼模板 4. 攻击者特征 4.1 目标选择 专注于海军及相关工业 精心选择与目标业务相关的伪装身份 4.2 社会工程技巧 冒充海军服务提供商和卫星公司 注册与知名公司相似的域名 邮件格式高度仿真真实业务邮件 使用目标行业相关术语和内容 4.3 工具使用 主要使用Microsoft Word 2013创建文档 通过在线工具转换文件格式 利用短链接服务隐藏真实URL 5. 防御建议 5.1 邮件安全措施 实施SMTP头部一致性检查 对来自外部域的可疑邮件加强过滤 培训员工识别仿冒域名 5.2 终端防护 监控PDF文档中的外部链接行为 阻止对可疑TLD(如.usa.cc)的访问 分析文档元数据(如创建工具信息) 5.3 网络防护 监控与已知恶意IP(如188.165.199.85)的连接 分析SSL证书中的CN字段异常 阻止已知恶意文件哈希 6. 威胁指标(IOC) 6.1 域名 anchors-chain.com jakconstruct.com wvpznpgahbtoobu.usa.cc xtyenvunqaxqzrm.usa.cc 6.2 电子邮件信息 发件人: alice.wu@anchors-chain.com 主题: Quotation on Marine Engine & TC Complete 6.3 URL http://ow.ly/laqJ30lt4Ou http://ow.ly/Kzr430lt4NV https://wvpznpgahbtoobu.usa.cc/wvpznpgahbtoobu/usaadobe/lexorder.php 6.4 文件哈希 7c9576123a35749c1699f53a1206577e 4cd270fd943448d595bfd6b0b638ad10 7. 调查方法论 邮件分析 :检查SMTP头部、发件人域、附件 域名调查 :WHOIS查询、历史解析记录 动态分析 :沙盒执行监控网络行为 SSL证书分析 :验证CN字段与证书颁发者 OSINT整合 :关联已知威胁情报 8. 关联分析 虽然无法确认所有攻击均为MartyMcFly所为,但存在以下共同点: 目标行业一致性(海军及相关工业) 相似的域名仿冒手法 使用Microsoft Word创建文档 精心构造的社会工程内容 多阶段重定向的攻击链设计