利用 DNS 情报缓解报税季的网络威胁

利用 DNS 情报缓解报税季的网络威胁

每年报税季，美国纳税人都会成为网络攻击者的目标，黑客试图拦截他们的付款并将资金据为己有。虽然报税截止日——2025年4月15日——已经过去，但申请延期的纳税人仍可在2025年10月15日前完成缴税，且不会被罚款。

不过，目前仍在持续进行的以税务为主题的网络钓鱼攻击，可能会影响尚未报税的用户。微软的网络安全研究人员识别出11个域名和1个 IP 地址为该类攻击的威胁指标（IoC）。WhoisXML API 在此基础上扩展了 IoC 列表，并发现了多个可能相关的数字足迹，包括：

• 2 个据称的受害者 IP 记录（来自 Internet Abuse Signal Collective），归属于同一个自治系统号（ASN）

• 153 个与电子邮件相关的域名，其中 1 个已被判定为恶意

• 13 个附加 IP 地址，其中 11 个已出现在其他恶意活动中

• 2 个 IP 连接域名

• 197 个基于字符串匹配的相关域名

税务主题攻击 IoC 深度分析

我们对2025年的税务钓鱼攻击进行了深入分析。首先使用 批量 WHOIS API |轻松访问批量 WHOIS 数据 | WhoisXML API 对11个 IoC 域名进行查询，发现其中8个仍有可用的当前 WHOIS 记录。进一步分析显示：

• 这8个域名的创建时间从2002年至2025年不等，其中2002年和2022年各1个、2024年4个、2025年2个

• 5家注册商管理了这些域名，NiceNIC、OwnRegistrar 和 PDR 各负责2个，其余由 Digital for IT & Communications 和 WEBCC 各负责1个

• 域名注册地分布于4个国家，美国最多（5个），其余分别注册于利比亚、马来西亚和巴基斯坦

使用 DNS 大事记 API | WhoisXML API 对这11个域名进行查询后发现，其中8个域名在历史上共出现过273次解析记录。其中，historyofpia[.]com 是最早被解析的，首次解析日期为2017年2月7日。以下是其他三个域名的历史解析详情：

IoC 域名	解析次数	首次解析时间
acusense[.]ae	15	2024年2月26日
muuxxu[.]com	4	2024年12月10日
proliforetka[.]com	14	2025年1月31日

我们还使用 IP 地理定位API |准确的IP地址定位 | WhoisXML API 查询了唯一被标记为 IoC 的 IP 地址，结果显示该地址位于哥伦比亚，由 Telmex Colombia 运营。但对该 IP 进行的 DNS Chronicle API 查询未发现解析记录。

此外，我们还分析了 IASC 提供的 sample netflow 数据，进一步调查了命令与控制（C&C）IP 地址 181[.]49[.]105[.]59。数据显示，两条可疑的受害者 IP 记录可能归属于同一家互联网服务提供商 Energy Group Networks，且由 ASN 18779 运营。

 

IoC 扩展分析结果

了解初步 IoC 后，我们继续追踪其 DNS 关联线索。

使用 用于历史 WHOIS 数据访问和轻松集成的 API | WhoisXML API 查询11个 IoC 域名后，发现其中7个域名的历史记录中包含17个邮箱地址。其中8个为公开邮箱。我们利用 Reverse WHOIS API 对这8个公开邮箱进行回查，尽管它们未出现在当前 WHOIS 记录中，但都在历史记录中出现过。

其中2个邮箱由于与大量域名相关，可能为域名投资行为，已排除不纳入本次分析。其余6个邮箱共关联出153个域名（去重并排除原始IoC后），即为“与邮箱相关的域名”。

我们将这153个域名提交至 Threat Intelligence API 进行分析，发现其中一个域名 0913u[.]com 已被归类为通用威胁源。

我们还使用 DNS Lookup API 对11个 IoC 域名进行查询，发现其中6个仍有活动的 IP 解析，共关联13个独立的 IP 地址，这些地址与最初标记为 IoC 的 IP 并不重合。