Anomali團隊捕獲了一個針對中國政府網站的釣魚攻擊行動

Anomali威脅研究小組最近發現了一個網路釣魚網站冒充中華人民共和國外交部電子郵件服務的登錄頁面。如果訪問者嘗試登錄這個釣魚頁面，網站就會向他們彈出一條驗證消息，要求用戶關閉窗口並繼續瀏覽。研究人員通過對攻擊者的基礎設施進行進一步分析後發現，其幕後攻擊者還針對中國的其他政府網站和國有企業網站進行了大範圍的釣魚活動。在調查中發現的一個域名被中國安全供應商「360CERT」認定為2019年5月「APT惡意攻擊」的一部分。目前Anomali已經確認，幕後的策劃者還會進一步對中國的政府網站發起進一步攻擊。基於Let』s Encrypt證書發布日期，研究人員認為該活動開始於2019年5月。研究人員預計，BITTER APT將繼續以中國的政府為目標，利用偽造的登錄頁面竊取用戶憑證，獲取特權賬戶信息。

發現過程

一開始，Anomali的研究人員發現了一個類似外交部電子郵件登錄頁面的網站，進一步調查發現，另有還有大約40個被攻擊的網站，都和中國的政府和其他組織有關。所有被攻擊的網站都使用「Let』s Encrypt」頒發的域驗證(DV)證書。子域名似乎有類似的命名約定，主要針對在線郵件登錄，並包含驗證或帳戶驗證主題。

網路釣魚的過程

下面的截圖是最初發現的樣本，域名「btappclientsvc[.]net」 上託管的網站已於2019年5月30日註冊。

針對外交部的釣魚網站

受害者登錄網站後的消息

針對中國航空技術進出口總公司(CATIC)的釣魚網站

針對國家發改委的釣魚網站

針對中華人民共和國商務部的釣魚網站

圖5所示的釣魚網站是通過使用URL短地址「TinyURL」傳播的，該URL 「tinyurl[.]com/y4nvpj56」會被重定向到

基礎設施的分析

在分析過程中，我們確定了6個域和40多個子域，它們模仿了以下內容:

1. 四家中華人民共和國政府機構；

2. 6個國有企業；

3. 一家香港拍賣行；

4. 兩家電子郵件服務商(網易公司和Gmail)。

值得注意的是，每個子域模擬都包含一個類似的命名結構，這可能表示在最新的釣魚活動中涉及相同的威脅參與者或團體。以下重點介紹命名的相似之處：

1. 字母和數字的隨機序列；

2. 以惡意域名結尾；

3. 在「mail」一詞中增加一兩個「l」字，如「maill」或「mailll」；

4. 使用攻擊目標的合法域名；

5.「accountvalidation」和「verify」兩個詞的變體。

以下部分提供了有關每個惡意域的更多詳細信息：

btappclientsvc[.]net

域名btappclientsvc[.]net 於2019年5月30日在域名註冊服務商BS Corp.註冊了IceNetworks Ltd.。而且註冊時使用了隱私保護服務，以保持註冊人詳細信息的隱私。根據許可權開始（SOA）記錄，此域與電子郵件地址reports@orangewebsite[.]com相關。而reports@orangewebsite[.]com又與冰島網路託管，VPS和名為OrangeWebsite的專用伺服器提供商相關聯。

該域名託管在基於冰島的IP地址82.221.129[.]17，並分配給該組織，Advania Island ehf (AS50613)。在過去十二個月，有人觀察到該IP託管偽裝成不同行業組織的釣魚網站，包括:

金融（巴克萊，瑞士信貸，Keytrade銀行）；

付款處理（PayPal）；

加密貨幣（Bittrex）。

託管域名btappclientsvc[.]net的伺服器安裝Let』s Encrypt-issued SSL/TLS 證書（SN: 308431922980607599428388630560406258271383），有效期為2019年7月30日至2019年10月28日，為期90天。根據證書的主題備選方案名稱（SAN），攻擊者創建了四個不同的子域名來模擬兩個中華人民共和國政府機構和一家國有國防企業:

中國航空技術進出口總公司；

中華人民共和國外交部；

國家發展和改革委員會。

下圖顯示了冒充中華人民共和國組織而創建的釣魚子域名，攻擊者就是利用這些子域名發起的釣魚活動：

2019年5月30日創建的域名的三個主要目標(中航工業、MFA和發改委)

v3solutions4all[.]com

與第一個域類似，v3solutions4all[.]com也於2018年12月28日在BS Corp.進行了註冊，並與註冊機構Icenetworks Ltd.關聯。同樣，SOA記錄顯示該域名也使用了相同的冰島網路託管提供商OrangeWebsite和電子郵件地址reports@orangewebsite[.]com。orangewebsite，成立於2006年，冰島主機商，運作：虛擬主機、VPS、獨立伺服器，數據中心在」雷克雅末克「，也就是冰島首都。

域v3solutions4all[.]com解析為基於冰島的IP地址82.221.129[.]19 (AS50613 - Advania Island ehf).。基於360-CERT的報告，研究人員認為該域名和IP地址此前一直與惡意APT聯繫在一起，並用釣魚攻擊的方式攻擊中國政府機構。

託管域 v3solutions4all[.]com的伺服器已安裝 Let』s Encrypt-issued SSL/TLS certificate (SN: 284039852848324733535582218696705431782795)，有效期為90天，從2019年4月29日至2019年7月28日。根據證書的主題備選方案名稱（SAN），總共有九個不同的子域名，用於冒充一個中國政府機構和兩個國防公司：

中華人民共和國外交部；

中國航空技術進出口總公司（CATIC）；

中國電子進出口總公司(CEIEC)。

以下是為冒充中華人民共和國機構而創建的釣魚子域名，黑客就是利用這些子域名發起的釣魚活動:

2018年12月28日創建的域名的三個主要攻擊目標（CATIC，CEIEC和MFA）

winmanagerservice[.]org

域winmanagerservice[.]org於2019年2月20日在OnlineNIC 公司註冊，並與註冊機構 International Widespread Services Limited相關聯。該域名很可能是對WindowManagerService(以下簡稱 WMS)的引用。

該域名託管在 94.156.175[.]61 (AS206776 - Histate Global Corp.)，位於保加利，也是105個可疑域名的託管伺服器。根據域的SOA記錄，該域名與Gmail帳戶techslogonservergmail[.]com相關聯。2019年2月22日至5月13日，這封郵件的地址的註冊商位於印度，該域名的名稱伺服器(NS)記錄標識它被分配到名稱伺服器dns11.warez-host.com和dns12.warez-host.com，這兩個伺服器也用於可疑和惡意網站。

託管域名winmanagerservice[.]org的伺服器安裝了Let"s Encrypt-issued SSL/TLS證書（SN：262081132907426754038710300383315550862850），有效期為2019年4月23日至2019年7月22日，為期90天。根據證書的主題選擇名稱（SAN），可以知道，創建的9個不同的子域名被用來模擬5個中國境內的網站:

中華人民共和國外交部；

中國航空技術進出口總公司；

網易服務：126.com和163.com；

保利拍賣香港有限公司。

下圖顯就是被釣魚攻擊後的域名，攻擊者就是利用這些子域名發起釣魚活動的：

2019年2月20日創建的域的主要攻擊目標（Polyauction house，MFA，CATIC，163和126）

winmanagerservice[.]net

域winmanagerservice[.]net於2018年11月20日在NetEarth One 公司被註冊，並使用GDPR屏蔽來隱藏註冊人的信息。截止發稿時，該域並沒有被解析為IP地址，但是，它被分配給兩個名稱伺服器: ns1.bitcoin-dns[.]com 和ns2.bitcoin-dns[.]com.。另外，此伺服器還可用作各種惡意活動的名稱伺服器，例如網路釣魚，惡意軟體託管和傳播以及刷卡商店。這意味著，威脅行為者會模仿國務院國有資產監督管理委員會(國資委)創建一個釣魚子域名:

不過在對該子域名進行分析時，研究人是無法檢索到以SASAC為主題的網路釣魚頁面。幸運的是，研究人員發現了一張2018年11月20日的歷史截屏，如下所示，研究人員發現了託管在 上的一個開放目錄包含了一個單獨的CGI-bin文件夾。CGI-BIN是一種特殊的目錄，在進行互動式的WWW訪問（如填寫在線表格）時，需要伺服器上有 相應的程序對訪問者輸入的信息進行處理，這些程序就是CGI程序。CGI程序不能放在任意的目錄下，只能放在CGI-BIN目錄下。有的虛擬主機系統只提供一個公用的CGI-BIN目錄，放置一些常用 的CGI程序供虛擬主機用戶使用，這對用戶不夠方便，因為用戶經常需要放置自己編製的CGI程序。

2018年惡意域名winmanagerservice[.]net 的屏幕截圖

通過對2018年惡意域名winmanagerservice[.]net 的屏幕截圖的歷史IP地址進行解析，研究人員確定它從2018年11月20日到2019年2月22日，使用了基於美國的IP地址162.222.215[.]96 (AS54020 - Admo.net LLC)。另外，研究人員還發現了一個發件人策略框架（Sender Policy Framework，SPF）記錄，該記錄指定了基於美國的IP地址162.222.215[.]2 (AS 8100 QuadraNet Enterprises LLC)的winmanagerservice[.]net可以從2018年12月10日至2019年2月22日發送電子郵件。

cdaxpropsvc[.]net

域cdaxpropsvc[.]net於2019年3月21日在OnlineNIC 公司被註冊，對此註冊人電子郵件的反向Whois查詢發現，使用此地址創建的122個域，這些域可追溯到2014年6月8日以及最近的2019年8月1日。

域名託管在94.156.175[.]61，位於保加利。根據域的SOA記錄，它與Gmail帳戶techslogonservergmail[.]com相關聯。自2019年3月22日起，該域被分配給dns11.warez-host.com和dns12.warez-host.com命名伺服器。

根據託管域cdaxpropsvc[.]net的伺服器的歷史SSL / TLS證書，研究人員發現共有12個子域對四個國防企業與免費電子郵件服務提供商NetEase和Gmail進行了釣魚攻擊。但這些子域名並沒有託管網站，所以研究人員猜測，它們很有可能是用來託管旨在竊取用戶憑據的虛假登錄網路釣魚頁面的。受影響的企業包括：

中國航空技術進出口總公司（CATIC）；

中國長城工業集團公司(CGWIC)；

中國核工業集團公司(CNNC)；

中國中原工程集團公司(CZEC)；

網易公司服務163.com；

Gmail。

以下就是那些被創建的網路釣魚頁面的子域名，攻擊者就是利用這些子域名發起釣魚攻擊的：

2019年3月21日創建的域名的主要目標(CATIC、CGWIC、CNNC、CZEC、163和Gmail)

wangluojiumingjingli[.]org

當調查IP地82.221.129[.]18和域名wangluojiumingjingli[.]org時，研究人員發現了兩個針對中國政府機構的釣魚子域名：中華人民共和國商務部(MOFCOM)和中國航空工業集團公司(AVIC)。在分析時，雖然中國航空工業集團公司的子域名沒有託管網站，然而，它們很可能是被創建來託管用於竊取用戶憑證的虛假登錄釣魚頁面的。這個針對商務部的釣魚網站的截圖顯示了一個偽造的電子郵件登錄頁面。

2019年4月創建的域名的主要攻擊目標（商務部和中航工業）

其中的三個域名被託管在同一個服務商：orangewebsite.com，該託管服務提供商總部位於冰島，擁有特彆強大的數字隱私協議，幾乎不受互聯網審查。另外，託管提供商還接受比特幣作為支付方式，這可能是它吸引惡意攻擊者駐足於此的原因吧。

總結

Anomali威脅研究小組發現了一種新的網路釣魚攻擊，它利用了一些釣魚網站，竊取目標受害者的電子郵件憑證。雖然目前很難查明攻擊者的確切動機，但研究人員認為這很可能是為了從事某種形式的間諜活動。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！