DNS Uncovers Infrastructure Used in SSO Attacks
2025年12月1日
我们最近收到一位客户的提示,称其所在机构正遭受针对学生单点登录门户的反复攻击。该威胁参与者利用了 Evilginx(可能是 3.0 版本),这是一个开源的、高级的网络钓鱼“中间人”框架,旨在窃取登录凭证和会话 Cookie。Evilginx 被网络犯罪分子广泛用于破坏多因素认证安全,自 2025 年 4 月以来,该攻击者已利用它瞄准了美国至少 18 所大学和教育机构。攻击活动通过电子邮件进行,所使用的钓鱼域名使用了模仿合法 SSO 站点的子域名。图 1 显示了基于 DNS 统计的针对各学校的攻击量时间线。
图 1. 该攻击者在 2025 年 4 月 12 日至 11 月 16 日期间针对高等教育机构的 SSO 钓鱼攻击时间线。每种颜色代表一所不同的大学。
Evilginx 采用了多种规避技术,使得使用常见方法难以检测和分析。例如,该软件能抵抗安全扫描器。此外,运行此次大学攻击活动的攻击者将其工具包配置为使用短命的钓鱼 URL,并将其服务器隐藏在 Cloudflare 代理之后。结合 Evilginx 的反向代理特性,这些策略对 URL 分析和前端代码检查等传统检测方法构成了挑战。尽管如此,这些活动具有一致的 DNS 模式,使我们能够基于初始的 Web 服务器指纹识别和广泛的基于 DNS 的分析,构建出有效的持续追踪特征。
我们发现了近 70 个与此类攻击相关的域名,并创建了追踪机制以识别未来的活动。这项工作表明,DNS 能够揭示那些原本极难检测的恶意基础设施,其结果可用于预先保护组织免受包括数据泄露在内的侵害。这也凸显了协作的好处:通过分享他们的经历,我们的客户帮助保护了许多其他组织。
攻击活动
在我们分析的活动过程中,学生通过包含 TinyURL 链接的个性化电子邮件成为攻击目标。这些短链接重定向到由 Evilginx phishlet 动态生成的钓鱼 URL。phishlet 是配置文件,定义了代理如何在受害者设备和合法网站之间进行交互。每个钓鱼 URL 使用了一个冒充目标品牌的子域名,以及一个包含八个随机字母字符的 URI。
这些 URL 在 24 小时内失效,这是一种限制暴露和规避检测的策略。当受害者访问钓鱼 URL 时,Evilginx 会实时代理合法的登录流程,使流量看起来正常,从而绕过 MFA。图 2 显示了攻击者针对圣地亚哥大学(众多收到此类电子邮件的大学之一)学生的攻击活动的简化视图。
图 2. 威胁参与者使用 Evilginx 针对圣地亚哥大学的学生。
DNS 揭示攻击目标
尽管 Evilginx 代理的钓鱼 URL 失效很快,但其活动的痕迹仍保留在被动 DNS 中。当网络犯罪分子为 phishlet 配置子域名时,他们通常会使用与合法登录页面极其相似的名称以显得真实。这个特定的攻击者使用的子域名标签与合法的服务域名相匹配。例如,在一次攻击中,钓鱼子域名 shibbolethmainrit[.]fiuy[.]weddingsarahetemmanuel[.]com 冒充了罗切斯特理工学院的 SSO 登录页面,该页面托管于 shibboleth.main.ad.rit.edu。两个域名共享前缀“shibboleth”,指的是一个开源的身份管理和认证服务。
通过分析这些标签,我们确定该攻击者已经瞄准了至少 18 所不同的美国大学。图 3 根据其钓鱼站点的 DNS 查询量,突出显示了受攻击最多的机构。前五名分别是加州大学圣克鲁兹分校、加州大学圣巴巴拉分校、圣地亚哥大学、弗吉尼亚联邦大学和密歇根大学。
图 3. 受 Evilginx 攻击者针对的大学
虽然攻击者目前使用 Cloudflare 来隐藏其托管位置,但他们之前曾使用 GoDaddy 和 NameCheap 的专用服务器。在基础设施转换过程中,他们重用了一些域名,这使我们能够揭示更大规模的攻击活动并分析攻击时间线。总共,我们发现了攻击者拥有的 67 个域名。观察到的第一个域名是 catering-amato[.]com。
使用此基础设施的首次已知钓鱼攻击发生于 2025 年 4 月 12 日,目标是圣地亚哥大学。攻击量在 2025 年中期之前一直相对较低,随后活动显著增加。随着时间的推移,增加了更多目标;马里兰大学巴尔的摩县分校于 2025 年 11 月 16 日成为目标。参见图 1。
DNS 作为检测武器
网络安全社区的低检测率突显了 Evilginx 的规避技术已变得多么有效。最近的版本,如 Evilginx Pro,增加了使检测更加困难的功能。这些功能包括默认使用通配符 TLS 证书、通过 JA4 等高级指纹识别进行机器人过滤、诱饵网页、改进的与 DNS 提供商(如 Cloudflare、DigitalOcean)的集成、对 phishlet 的多域支持以及 JavaScript 混淆。随着 Evilginx 不断成熟,识别其钓鱼 URL 将只会变得更加困难。传统的检测方法和手动狩猎无法在规模上跟上步伐。幸运的是,利用像 Evilginx 这类工具的攻击者通常仍会为其操作使用域名,并常常留下指纹,这为我们提供了一种手段,可以稍微“调皮”一点,挫败他们的计划。
活动指标
下表提供了此 Evilginx 威胁参与者使用的 IoA。我们强烈建议组织阻止此列表中的域名,以便通过 DNS 提供更好的保护。更多指标,请访问 Infoblox Threat Intel Github 仓库:https://github.com/infobloxopen/threat-intelligence/tree/main。
| 指标 | 类型 | 备注 |
|---|---|---|
| 132[.]148[.]73[.]92 | IPv4 | 托管 Evilginx 钓鱼代理域名的专用 IP 地址 |
| 132[.]148[.]74[.]178 | IPv4 | 托管 Evilginx 钓鱼代理域名的专用 IP 地址 |
| 160[.]153[.]176[.]197 | IPv4 | 托管 Evilginx 钓鱼代理域名的专用 IP 地址 |
| 160[.]153[.]178[.]199 | IPv4 | 托管 Evilginx 钓鱼代理域名的专用 IP 地址 |
| 162[.]0[.]214[.]254 | IPv4 | 托管 Evilginx 钓鱼代理域名的专用 IP 地址 |
| 162[.]0[.]228[.]151 | IPv4 | 托管 Evilginx 钓鱼代理域名的专用 IP 地址 |
| 192[.]169[.]177[.]165 | IPv4 | 托管 Evilginx 钓鱼代理域名的专用 IP 地址 |
| 199[.]192[.]23[.]40 | IPv4 | 托管 Evilginx 钓鱼代理域名的专用 IP 地址 |
| 203[.]161[.]60[.]59 | IPv4 | 托管 Evilginx 钓鱼代理域名的专用 IP 地址 |
| 208[.]109[.]244[.]86 | IPv4 | 托管 Evilginx 钓鱼代理域名的专用 IP 地址 |
| 208[.]109[.]39[.]196 | IPv4 | 托管 Evilginx 钓鱼代理域名的专用 IP 地址 |
| 64[.]202[.]186[.]223 | IPv4 | 托管 Evilginx 钓鱼代理域名的专用 IP 地址 |
| 66[.]29[.]133[.]135 | IPv4 | 托管 Evilginx 钓鱼代理域名的专用 IP 地址 |
| 72[.]167[.]224[.]193 | IPv4 | 托管 Evilginx 钓鱼代理域名的专用 IP 地址 |
| 72[.]167[.]52[.]130 | IPv4 | 托管 Evilginx 钓鱼代理域名的专用 IP 地址 |
| acmsquared[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| ads2ads[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| aghomesandproperties[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| allwebdirectories[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| amj-international[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| apartamentosmalaga[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| armingaud[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| bazmepaigham[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| bedrijvenregister[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| bestshayari[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| brillianceboundielts[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| brownak[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| buildonhope[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| cappadociavisittours[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| catering-amato[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| cccsok[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| citywideprayer[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| controlunlimited[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| coralridgehour[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| dartsinireland[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| data-logistics[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| dhoughton[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| dogcuty[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| e-briefe[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| eggcoo[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| eheringe-trauringe[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| ehsantrust[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| esdetodo[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| fluffybascha[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| forty-something[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| freaksandfriends[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| geegletee[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| georgiayr[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| goraba[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| hafikoman[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| heisseliebe[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| hurenkontakte[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| ideallivingsolutions[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| igreensoft[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| ilchirone[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| impexinc[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| inkdchronicles[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| intellipex[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| intercuba[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| ispamembers[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| jimmylange[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| joshuasdodds[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| kbdav[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| l2storm[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| littlenuggetsco[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| lost-signal[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| lpdeco[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| monnalissaboutique[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| mpoterbaru2024[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| mykidsfashion[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| northstarcouncil[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| qrcodespoweredbygs1[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| schnaitsee[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| sercanaydin[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| srpskazemlja[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| thelovecity[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| thermalresistivity[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| transusasia[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| tubeunderwater[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| weddingsarahetemmanuel[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| winbet299mas[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |
| yoopuipui[.]com | domain | Evilginx 钓鱼代理 URL 使用的域名 |