收藏 [登錄/注冊] 歡迎
榕基門戶網及子站
聯系我們
  • 福建榕基軟件股份有限公司
  • 電話:0591-87860988
  • 傳真:0591-87869595
  • 地址:福建省福州市鼓樓區
  •    軟件大道89號
  •    A區15座
  • 郵編:350003
您的當前位置:首頁 > 技術支持 > 安全公告

Anomali團隊捕獲了一個針對政府部門的網站釣魚攻擊行動

Anomali團隊捕獲了一個針對中國政府部門的網站釣魚攻擊行動

 

Anomali威脅研究小組最近發現了一個網絡釣魚網站冒充中華人民共和國外交部電子郵件服務的登錄頁面。如果訪問者嘗試登錄這個釣魚頁面,網站就會向他們彈出一條驗證消息,要求用戶關閉窗口并繼續瀏覽。研究人員通過對攻擊者的基礎設施進行進一步分析后發現,其幕后攻擊者還針對中國的其他政府網站和國有企業網站進行了大范圍的釣魚活動。在調查中發現的一個域名被中國安全供應商“CERT 360”認定為2019年5月“APT惡意攻擊”的一部分。目前Anomali已經確認,幕后的策劃者還會進一步對中國的政府網站發起進一步攻擊。基于Let’s Encrypt證書發布日期,研究人員認為該活動開始于2019年5月。研究人員預計,BITTER APT將繼續以中國的政府為目標,利用偽造的登錄頁面竊取用戶憑證,獲取特權賬戶信息。

發現過程

一開始,Anomali的研究人員發現了一個類似外交部電子郵件登錄頁面的網站,進一步調查發現,另有還有大約40個被攻擊的網站,都和中國的政府和其他組織有關。所有被攻擊的網站都使用“Let’s Encrypt”頒發的域驗證(DV)證書。子域名似乎有類似的命名約定,主要針對在線郵件登錄,并包含驗證或帳戶驗證主題。

網絡釣魚的過程

下面的截圖是最初發現的樣本,域名“btappclientsvc[.]net” 上托管的網站已于2019年5月30日注冊。

Anomali團隊捕獲了一個針對中國政府部門的網站釣魚攻擊行動

 

針對外交部的釣魚網站

該釣魚網站被專門設計成外交部的登錄頁面(mail.mfa.gov.cn),很有可能是克隆了原始頁面。它與以下網站類似,并與此攻擊系列中標識的子域一致。這些釣魚網站的目的似乎是竊取外交部(MFA)的電子郵件憑證。一旦用戶輸入了憑證,就會看到圖2中的消息。

Anomali團隊捕獲了一個針對中國政府部門的網站釣魚攻擊行動

 

受害者登錄網站后的消息

Anomali團隊捕獲了一個針對中國政府部門的網站釣魚攻擊行動

 

針對中國航空技術進出口總公司(CATIC)的釣魚網站

Anomali團隊捕獲了一個針對中國政府部門的網站釣魚攻擊行動

 

針對國家發改委的釣魚網站

Anomali團隊捕獲了一個針對中國政府部門的網站釣魚攻擊行動

 

針對中華人民共和國商務部的釣魚網站

圖5所示的釣魚網站是通過使用URL短地址“TinyURL”傳播的,該URL  “tinyurl[.]com/y4nvpj56”會被重定向到

webmail.mofcom.gov.cn.accountverify.validation8u2904.jsbchkufd546.nxjkgdgfhh345s.fghese4.ncdjkbfkjh244e.nckjdbcj86hty1.cdjcksdcuh57hgy43.njkd75894t5.njfg87543.kdjsdkj7564.jdchjsdy.rthfgyerty33.wangluojiumingjingli[.]org

基礎設施的分析

在分析過程中,我們確定了6個域和40多個子域,它們模仿了以下內容:

1. 四家中華人民共和國政府機構;

2. 6個國有企業;

3. 一家香港拍賣行;

4. 兩家電子郵件服務商(網易公司和Gmail)。

值得注意的是,每個子域模擬都包含一個類似的命名結構,這可能表示在最新的釣魚活動中涉及相同的威脅參與者或團體。以下重點介紹命名的相似之處:

1. 字母和數字的隨機序列;

2. 以惡意域名結尾;

3. 在“mail”一詞中增加一兩個“l”字,如“maill”或“mailll”;

4. 使用攻擊目標的合法域名;

5.“accountvalidation”和“verify”兩個詞的變體。

以下部分提供了有關每個惡意域的更多詳細信息:

btappclientsvc[.]net

域名btappclientsvc[.]net 于2019年5月30日在域名注冊服務商BS Corp.注冊了IceNetworks Ltd.。而且注冊時使用了隱私保護服務,以保持注冊人詳細信息的隱私。根據權限開始(SOA)記錄,此域與電子郵件地址[email protected][.]com相關。而[email protected][.]com又與冰島網絡托管,VPS和名為OrangeWebsite的專用服務器提供商相關聯。

該域名托管在基于冰島的IP地址82.221.129[.]17,并分配給該組織,Advania Island ehf (AS50613)。在過去十二個月,有人觀察到該IP托管偽裝成不同行業組織的釣魚網站,包括:

金融(巴克萊,瑞士信貸,Keytrade銀行);

付款處理(PayPal);

加密貨幣(Bittrex)。

托管域名btappclientsvc[.]net的服務器安裝Let’s Encrypt-issued SSL/TLS 證書(SN: 308431922980607599428388630560406258271383),有效期為2019年7月30日至2019年10月28日,為期90天。根據證書的主題備選方案名稱(SAN),攻擊者創建了四個不同的子域名來模擬兩個中華人民共和國政府機構和一家國有國防企業:

中國航空技術進出口總公司;

中華人民共和國外交部;

國家發展和改革委員會。

下圖顯示了冒充中華人民共和國組織而創建的釣魚子域名,攻擊者就是利用這些子域名發起的釣魚活動:

Anomali團隊捕獲了一個針對中國政府部門的網站釣魚攻擊行動

 

2019年5月30日創建的域名的三個主要目標(中航工業、MFA和發改委)

v3solutions4all[.]com

與第一個域類似,v3solutions4all[.]com也于2018年12月28日在BS Corp.進行了注冊,并與注冊機構Icenetworks Ltd.關聯。同樣,SOA記錄顯示該域名也使用了相同的冰島網絡托管提供商OrangeWebsite和電子郵件地址[email protected][.]com。orangewebsite,成立于2006年,冰島主機商,運作:虛擬主機、VPS、獨立服務器,數據中心在”雷克雅末克“,也就是冰島首都。

域v3solutions4all[.]com解析為基于冰島的IP地址82.221.129[.]19 (AS50613 – Advania Island ehf).。基于360-CERT的報告,研究人員認為該域名和IP地址此前一直與惡意APT聯系在一起,并用釣魚攻擊的方式攻擊中國政府機構。

托管域 v3solutions4all[.]com的服務器已安裝 Let’s Encrypt-issued SSL/TLS certificate (SN: 284039852848324733535582218696705431782795),有效期為90天,從2019年4月29日至2019年7月28日。根據證書的主題備選方案名稱(SAN),總共有九個不同的子域名,用于冒充一個中國政府機構和兩個國防公司:

中華人民共和國外交部;

中國航空技術進出口總公司(CATIC);

中國電子進出口總公司(CEIEC)。

以下是為冒充中華人民共和國機構而創建的釣魚子域名,黑客就是利用這些子域名發起的釣魚活動:

Anomali團隊捕獲了一個針對中國政府部門的網站釣魚攻擊行動

 

2018年12月28日創建的域名的三個主要攻擊目標(CATIC,CEIEC和MFA)

winmanagerservice[.]org

域winmanagerservice[.]org于2019年2月20日在OnlineNIC 公司注冊,并與注冊機構 International Widespread Services Limited相關聯。該域名很可能是對WindowManagerService(以下簡稱 WMS)的引用。

該域名托管在 94.156.175[.]61 (AS206776 – Histate Global Corp.),位于保加利,也是105個可疑域名的托管服務器。根據域的SOA記錄,該域名與Gmail帳戶techslogonserver{at}gmail[.]com相關聯。2019年2月22日至5月13日,這封郵件的地址的注冊商位于印度,該域名的名稱服務器(NS)記錄標識它被分配到名稱服務器dns11.warez-host.com和dns12.warez-host.com,這兩個服務器也用于可疑和惡意網站。

托管域名winmanagerservice[.]org的服務器安裝了Let's Encrypt-issued SSL/TLS證書(SN:262081132907426754038710300383315550862850),有效期為2019年4月23日至2019年7月22日,為期90天。根據證書的主題選擇名稱(SAN),可以知道,創建的9個不同的子域名被用來模擬5個中國境內的網站:

中華人民共和國外交部;

中國航空技術進出口總公司;

網易服務:126.com和163.com;

保利拍賣香港有限公司。

下圖顯就是被釣魚攻擊后的域名,攻擊者就是利用這些子域名發起釣魚活動的:

Anomali團隊捕獲了一個針對中國政府部門的網站釣魚攻擊行動

 

2019年2月20日創建的域的主要攻擊目標(Polyauction house,MFA,CATIC,163和126)

winmanagerservice[.]net

域winmanagerservice[.]net于2018年11月20日在NetEarth One 公司被注冊,并使用GDPR屏蔽來隱藏注冊人的信息。截止發稿時,該域并沒有被解析為IP地址,但是,它被分配給兩個名稱服務器: ns1.bitcoin-dns[.]com 和ns2.bitcoin-dns[.]com.。另外,此服務器還可用作各種惡意活動的名稱服務器,例如網絡釣魚,惡意軟件托管和傳播以及刷卡商店。這意味著,威脅行為者會模仿國務院國有資產監督管理委員會(國資委)創建一個釣魚子域名:

maill[.]sasac[.]gov[.]cn[.]accountverify.validation8u6453.jsbch876452.nxjkgdg096574.fghe5392.ncdjkbfkj873e65.nckjdbcj86hty1.cdjcksdcuh57hgy43.njkd8766532.njfg73452.kdjsdkj7564.jdchjsdy.rthfgyert231.winmanagerservice[.]net

不過在對該子域名進行分析時,研究人是無法檢索到以SASAC為主題的網絡釣魚頁面。幸運的是,研究人員發現了一張2018年11月20日的歷史截屏,如下所示,研究人員發現了托管在<hxxp://www[.]winmanagerservice[.]net/> 上的一個開放目錄包含了一個單獨的CGI-bin文件夾。CGI-BIN是一種特殊的目錄,在進行交互式的WWW訪問(如填寫在線表格)時,需要服務器上有 相應的程序對訪問者輸入的信息進行處理,這些程序就是CGI程序。CGI程序不能放在任意的目錄下,只能放在CGI-BIN目錄下。有的虛擬主機系統只提供一個公用的CGI-BIN目錄,放置一些常用 的CGI程序供虛擬主機用戶使用,這對用戶不夠方便,因為用戶經常需要放置自己編制的CGI程序。

Anomali團隊捕獲了一個針對中國政府部門的網站釣魚攻擊行動

 

2018年惡意域名winmanagerservice[.]net 的屏幕截圖

通過對2018年惡意域名winmanagerservice[.]net 的屏幕截圖的歷史IP地址進行解析,研究人員確定它從2018年11月20日到2019年2月22日,使用了基于美國的IP地址162.222.215[.]96 (AS54020 – Admo.net LLC)。另外,研究人員還發現了一個發件人策略框架(Sender Policy Framework,SPF)記錄,該記錄指定了基于美國的IP地址162.222.215[.]2 (AS 8100 QuadraNet Enterprises LLC)的winmanagerservice[.]net可以從2018年12月10日至2019年2月22日發送電子郵件。

cdaxpropsvc[.]net

域cdaxpropsvc[.]net于2019年3月21日在OnlineNIC 公司被注冊,對此注冊人電子郵件的反向Whois查詢發現,使用此地址創建的122個域,這些域可追溯到2014年6月8日以及最近的2019年8月1日。

域名托管在94.156.175[.]61,位于保加利。根據域的SOA記錄,它與Gmail帳戶techslogonserver{at}gmail[.]com相關聯。自2019年3月22日起,該域被分配給dns11.warez-host.com和dns12.warez-host.com命名服務器。

根據托管域cdaxpropsvc[.]net的服務器的歷史SSL / TLS證書,研究人員發現共有12個子域對四個國防企業與免費電子郵件服務提供商NetEase和Gmail進行了釣魚攻擊。但這些子域名并沒有托管網站,所以研究人員猜測,它們很有可能是用來托管旨在竊取用戶憑據的虛假登錄網絡釣魚頁面的。受影響的企業包括:

中國航空技術進出口總公司(CATIC);

中國長城工業集團公司(CGWIC);

中國核工業集團公司(CNNC);

中國中原工程集團公司(CZEC);

網易公司服務163.com;

Gmail。

以下就是那些被創建的網絡釣魚頁面的子域名,攻擊者就是利用這些子域名發起釣魚攻擊的:

Anomali團隊捕獲了一個針對中國政府部門的網站釣魚攻擊行動

 

2019年3月21日創建的域名的主要目標(CATIC、CGWIC、CNNC、CZEC、163和Gmail)

wangluojiumingjingli[.]org

當調查IP地82.221.129[.]18和域名wangluojiumingjingli[.]org時,研究人員發現了兩個針對中國政府機構的釣魚子域名:中華人民共和國商務部(MOFCOM)和中國航空工業集團公司(AVIC)。在分析時,雖然中國航空工業集團公司的子域名沒有托管網站,然而,它們很可能是被創建來托管用于竊取用戶憑證的虛假登錄釣魚頁面的。這個針對商務部的釣魚網站的截圖顯示了一個偽造的電子郵件登錄頁面。

Anomali團隊捕獲了一個針對中國政府部門的網站釣魚攻擊行動

 

2019年4月創建的域名的主要攻擊目標(商務部和中航工業)

其中的三個域名被托管在同一個服務商:orangewebsite.com,該托管服務提供商總部位于冰島,擁有特別強大的數字隱私協議,幾乎不受互聯網審查。另外,托管提供商還接受比特幣作為支付方式,這可能是它吸引惡意攻擊者駐足于此的原因吧。

總結

Anomali威脅研究小組發現了一種新的網絡釣魚攻擊,它利用了一些釣魚網站,竊取目標受害者的電子郵件憑證。雖然目前很難查明攻擊者的確切動機,但研究人員認為這很可能是為了從事某種形式的間諜活動。

 

福彩3d跨度走势图300期带连线