1 2目录Contents前言..................................................................................................................3一、2023年第三季度黑灰产攻击资源分析..................................................51.1、第三季度黑手机卡新增量分析..........................................................................................51.2、第三季度风险IP捕获量分析............................................................................................81.3、第三季度风险邮箱捕获量分析.......................................................................................101.4、第三季度网络洗钱资源分析...........................................................................................13二、2023年第三季度业务欺诈场景分析....................................................182.1、黑灰产接入AI机器人，社交引流话术更智能............................................................182.2、AI发展使得换脸成本降低，人脸验证安全性需警惕................................................192.3、黑灰产账号注册及绕过检测形式愈加多样化..............................................................212.4、黑灰产结合贷款平台和虚拟货币，转移洗钱风险.....................................................222.5、黑灰产利用云手机平台提供的iOS云设备，降低iOS群控成本...........................25三、2023年第三季度数据泄漏场景分析...............................................28四、结语...............................................................................................35 3前言近年来黑灰产业链不断成熟壮大，其攻击技术、资源快速更新，企业与黑产的对抗愈发激烈。“面临哪些黑产攻击”、“黑产会使用哪些技术/资源进行攻击”、“面临哪些风险”等问题仍然困扰着企业内部安全运营人员。依托于黑产情报的长期监测、挖掘以及黑产攻防研究，威胁猎人针对企业潜在风险，从2023年第三季度黑灰产攻击资源、业务欺诈场景、数据泄露场景等维度进行全面梳理及分析，期望帮助更多企业深入了解黑灰产业，有效防控各类攻击风险，避免损失。 42023年第三季度黑灰产攻击资源分析01 5一、2023年第三季度黑灰产攻击资源分析1.1第三季度黑手机卡新增量分析1.1.1第三季度黑手机卡捕获总量较第二季度下降26.27%据威胁猎人业务风险情报平台数据显示，2023年第三季度黑手机卡捕获总量较第二季度下降26.27%。经威胁猎人情报专家分析，持续下降的主要原因是：8月初某头部接码平台被关停，导致大量黑手机卡供应商和使用黑手机卡的黑产团伙无法正常供应和使用黑手机卡，从而影响了黑手机号的流通。受此影响，第三季度黑手机卡“每月新增量”亦持续下降。 61.1.2第三季度拦截卡新增数量持续下降2023年第三季度拦截卡新增数量持续下降，第三季度拦截卡新增数量仅为第二季度的47%。经威胁猎人情报专家分析，下降的主要原因是：自2023年4月起，三个头部接码平台提供的新拦截卡数量持续减少，进而导致新增的拦截卡数量持续下降。 71.1.3第三季度季度192号段使用量较第二季度上升123%据威胁猎人业务风险情报平台数据显示，2023年第三季度，192号段黑手机卡的使用量是第二季度的2.23倍。经威胁猎人情报专家分析，第三季度新增量较大的主要原因是：自第一季度起，各黑卡供应渠道持续投入新的192号段手机卡。同时自第三季度开始，有4个供应渠道进一步增大192号段手机卡的投入规模，使得第三季度新增量进一步增加。 81.2第三季度风险IP捕获量分析1.2.1第三季度风险IP捕获总量较第二季度上升2.8%2023年第三季度风险IP捕获总量较第二季度上升2.8%，数据并未出现明显波动。1.2.2木马伪装成正常软件后将正常用户IP上传至代理平台威胁猎人研究人员在第三季度发现正常用户IP出现在代理IP平台的IP池中，并呈现出明显上升的趋势。该情况会导致一个IP在短时间内的操作行为同时包含正常用户行为及黑产作恶行为。这类IP在业务上的表现为：大部分时间是正常用户进行操作，如点击、充值、浏览等行为均正常，少量时间会出现短暂的作恶行为。因此对于甲方风控来说，平台会认定该用户为正常用户，进而忽视其短暂的作恶行为，给黑产可乘之机。 9同时，威胁猎人研究员溯源到了背后的作恶工具，这类工具将木马伪装成正常软件供用户下载使用。用户安装并首次运行工具后，木马即可上传正常用户的IP至代理平台供黑产作恶使用。以捕获到的一个“xx加速器”工具为例，其作恶流程为：（1）正常用户在电脑上安装"xx加速器"后，程序释放木马文件到指定位置；（2）木马对特定进程进行注入，劫持用户IP进行任意操作；（3）木马通过特定方式维持其运行权限，达到“加速器关闭后木马仍能运行”的目的；（4）运行真正的加速器程序，供用户使用。研究人员通过技术分析提取出三个可执行程序，分别记作样本A、B、C：样本A：一个实现木马加载功能的可执行程序样本B：一个维持木马驻留权限的可执行程序样本C：一个真实的加速器客户端 10样本A：通过分析，从功能上可以判定样本A是一个木马加载器，它具备解密二进制代码、内存加载PE的功能。样本B：通过分析，从功能上可以判定样本B的主要功能是创建服务，维持木马驻留权限。1.3第三季度风险邮箱捕获量分析1.3.1第三季度风险邮箱捕获总量较第二季度上升71.16% 112023年第三季度，威胁猎人持续覆盖及监测临时邮箱网站，统计发现第三季度风险邮箱捕获总量较第二季度上升71.16%。1.3.2被黑产用来作恶的临时邮箱，呈现明显的团伙聚集性在海外，电子邮箱注册依旧是主要的账号注册方式之一。而临时邮箱由于具有低成本、可匿名、一次性等特点，成为了黑产对企业海外业务实施攻击的首选物料。威胁猎人研究人员针对捕获的46737个有效临时邮箱域名样本进行MX、IP及域名注册信息分析，发现有66.65%（共计31150个）邮箱域名均存在特征共性，能关联到多个作恶团伙。 12对上述31150个邮箱域名进行团伙分类，可整理出六个黑产团伙，且相同团伙下的多个临时邮箱往往呈现出特征的聚集性。有的团伙是“强关联”特征，只要出现就可以判定是来自同一团伙；有的团伙是“弱关联”特征，需要多个特征结合来判定：以关联临时邮箱最多的一个团伙为例：有10085个邮箱域名解析到同一MX（mail.***.kr），邮箱后缀基本为xxx.kr，可直接判定来自同一团伙。该团伙关联到的邮箱特征如下： 131.4第三季度网络洗钱资源分析1.4.1第三季度网络洗钱资源各渠道中，第三方支付平台占比达72.63%2023年第三季度洗钱资源渠道中，占比最高的为第三方支付平台账号，其次为虚拟货币交易平台账号、银行卡、数字人民币账号。 141.4.2第三季度数字人民币捕获量在9月出现明显增长，月增幅超270%威胁猎人发现黑产利用数字人民币进行洗钱的情况整体呈上升趋势，尤其是9月，月增幅超过了270%。经威胁猎人情报专家分析，出现较大增幅的主要原因是：9月份出现了大量新的支持数字人民币洗钱的四方支付平台，较8月份增加了39个平台。此外，虽然第二季度的四方支付平台数量与第一季度相近，但威胁猎人情报专家发现：自5月起，已有部分四方支付平台开始增加数字人民币这一渠道的洗钱频率，使得数字人民币洗钱记录捕获数开始上升。 151.4.3第三季度涉及洗钱的对公账户捕获总量较第二季度上升37.86%银行对公账户具有收款额度大、转账次数多等特点，这使得“对公账户”常常作为黑钱转账的集中点及发散点，在黑产洗钱链条中担任极其重要的位置。在打击洗钱犯罪过程中，银行对涉及洗钱的对公账户进行风控也是十分重要的一环。因为一个对公账户的收款额度往往在几百万到几千万不等，及时发现涉嫌洗钱的对公账户并进行针对性风控，往往能中断某个黑产团伙的某一洗钱链条。自2023年3月起，威胁猎人持续覆盖及监测黑产在洗钱过程中所使用的银行对公账户资源，发现涉及洗钱的对公账户数量持续上升。 16 172023年第三季度业务欺诈场景分析02 18二、2023年第三季度业务欺诈场景分析2.1黑灰产接入AI机器人，社交引流话术更智能威胁猎人情报研究员在第三季度发现，黑灰产在社交引流场景已经接入AI机器人，使得引流聊天更智能。以捕获的一款自动聊天工具“AiTuLing”为例，该工具除了常规的“基于预设话术进行引流”外，还支持接入AI机器人，同时该工具支持市面上近百个社交平台的自动引流。 19与传统的预设话术进行回复引流相比，两者的特点如下：在使用成本上，AI机器人的接入成本也极为低廉，最低只需19.9元/月即可。目前此类引流工具多被黑灰产用于社交场景上的引流下载、色情诈骗目标的初步筛选，对社交平台的内容风控提出了新的挑战。2.2AI发展使得换脸成本降低，人脸验证安全性需警惕针对近期热度较高的基于AI换脸技术进行诈骗的案例，威胁猎人研究人员对相关作恶工具及作恶流程进行了研究，并最终成功绕过某银行的人脸认证。 20研究发现，黑灰产在作恶时使用的工具如下：威胁猎人研究员的攻击复现流程如下：（1）首次登录，测试人员使用自己的人脸模拟攻击者登录受害者银行账号，未成功通过人脸认证。 21（2）第二次登录，测试人员使用受害者的AI换脸视频，并通过特定方式使得“换脸视频的画面”作为登录设备摄像头获取到的画面，再次登录受害者的银行账号，最终通过人脸认证并成功登录。2.3黑灰产账号注册及绕过检测形式愈加多样化账号是黑灰产针对平台实施攻击的基础，但由于APP之间登录方式不同、APP的风控程度松紧不一等原因，不同的“账号使用方法”会使得账号在平台上的使用寿命长短不一。为了最大限度延迟作恶账号的使用时间，黑产针对不同的情况推出不同的账号注册、绕过检测的方法。以下为威胁猎人整理的部分黑产作恶账号使用方式： 22以备份包号登录社交APP为例，其使用流程如下：2.4黑灰产结合贷款平台和虚拟货币，转移洗钱风险威胁猎人研究员在2023年第二季度发现部分黑产开始利用贷款平台进行洗钱，涉及贷款平台27家，在第三季度发现受影响平台上升至41家，较第二季度增长51.85%。 23黑产将贷款平台与虚拟货币结合，借助第三者协助，将贷款平台贷出来的钱用于购买较难监管的虚拟货币，再把黑钱作为还贷资金，转账给贷款平台，将洗钱的风险转嫁至贷款平台处。在过往的洗钱方式中，会存在黑产直接使用黑钱在虚拟货币交易平台中大量购买虚拟货币的情况，这使得黑产的虚拟货币账户很容易被交易平台发现并进行风控。基于“将贷款平台与虚拟货币结合”的方式，黑产能将购买虚拟货币这一操作转移到第三者身上，同时由于第三者用于购买虚拟