首頁 > 安全研究 > 安全通報 > 安全通告

Bitter針對中國政府和組織的釣魚攻擊事件安全通告

發布時間 2019-08-16

? 事件背景


今天接到前場反饋的釣魚郵件攻擊事件,網絡釣魚網站有6個域和40多個子域,具體針對性攻擊的網站包括四個中華人民共和國政府機構網站,六個國有企業網站,一家香港拍賣行以及兩個電子郵件服務提供商。當訪問者嘗試登錄欺詐頁面時,會向他們顯示彈出驗證消息,要求用戶關閉他們的窗口并繼續瀏覽。從其用到的證書發現該攻擊活動應該是從2019年5月左右開始的。


境外黑客組織妄圖竊取敏感信息。經分析研判,攻擊者通過發送釣魚郵件等方式,誘使相關人員訪問并登陸仿冒的電子郵件系統,進而竊取工作人員電子郵件賬號信息。被攻擊者都與經濟貿易、國防、航空和對外關系有關。這表明攻擊者很可能是一個在授權下運作的行動者或團體,以了解中國國際化的目標和決策。


通過威脅情報關聯與APT 組織BITTER有關,BITTER主要針對中國、巴基斯坦和沙特阿拉伯。

 


事件描述


下面的屏幕截圖是發現和調查的初始站點。域名“btappclientsvc.net”上托管的網站已于2019年5月30日注冊。

 

圖1


網絡釣魚站點專門設計為外交部(mail.mfa.gov.cn)的登錄頁面,可能是克隆了原始頁面。與以下網站類似,并與此廣告系列中標識的子域一致。網絡釣魚網站似乎旨在竊取外交部(MFA)的電子郵件憑據。一旦用戶輸入他們的憑證,他們就會看到圖2中的消息。

 

圖2


圖3顯示了設計看起來像中國國家航空技術進出口公司(CATIC)的釣魚網站。


 

圖3


圖4為針對國家發展和改革委員會(NDRC)的網絡釣魚站點。

 

圖4


圖5為針對中華民國商務部(MOFCOM)的網絡釣魚網站,網絡釣魚站點是通過 “tinyurl.com/y4nvpj56”重定向到URL webmail.mofcom.gov.cn.accountverify.validation8u2904.jsbchkufd546.nxjkgdgfhh345s.fghese4.ncdjkbfkjh244e.nckjdbcj86hty1.cdjcksdcuh57hgy43.njkd75894t5.njfg87543.kdjsdkj7564.jdchjsdy.rthfgyerty33. wangluojiumingjingli.org。

 

圖5


威脅基礎設施分析


在我們的分析過程中,我們確定了6個域和40多個子域,模仿以下內容:四個中華民國(中華人民共和國)政府機構、六家國有企業、一家香港拍賣行、兩個電子郵件服務提供商(網易公司和Gmail)。


值得注意的是,每個子域模擬都包含一個類似的命名結構,這可能表示此最新網絡釣魚活動中涉及的威脅行為者或團體。命名的相似之處:


隨機的字母和數字序列;


以惡意域名結尾;


將一個或兩個附加的“l”字符添加到單詞“mail”中,例如“maill”或“mailll”;


使用目標的合法域名;


“帳戶驗證”和“驗證”字樣的變體。


下面介紹每個惡意域的更多詳細信息:


Domain 1 - btappclientsvc.net


域名btappclientsvc.net于2019年5月30日在注冊商互聯網域名服務BS公司注冊到名為IceNetworks Ltd的注冊人組織。注冊時使用了隱私保護服務,以保持注冊人詳細信息的私密性。根據權限開始(SOA)記錄,此域與電子郵件地址報告@ orangewebsite .com相關聯,后者又與冰島網絡托管,VPS和名為OrangeWebsite的專用服務器提供商相關聯。


該域名位于冰島IP地址82.221.129.17,并分配給該組織Advania Island ehf(AS50613)。


在過去的12個月中,觀察到此IP被托管的釣魚網站偽裝成各個部門的組織,包括:金融(巴克萊,瑞士信貸,Keytrade銀行)、付款處理(PayPal)、加密貨幣(Bittrex)。


托管域名btappclientsvc.net的服務器安裝了Let's Encrypt-issued SSL / TLS證書(SN:308431922980607599428388630560406258271383),有效期為2019年7月30日至2019年10月28日,為期90天。根據證書的主題備選方案名稱(SAN),有四個不同的子域名,用于冒充兩個中華人民共和國(PRC)政府機構和一個國有防務公司:


中國國家航空技術進出口總公司(CATIC),國防工業國有企業,中華人民共和國外交部(MFA),國家發展和改革委員會,中華人民共和國國家發改委,國務院宏觀經濟管理機構。


下圖表示為冒充中國組織而設置的欺詐性子域名,并利用這些子域名來發起網絡釣魚活動:

 


Domain 2 - v3solutions4all.com


與第一個域類似,v3solutions4all.com也于2018年12月28日在注冊商Internet域名服務BS公司注冊,并與注冊人組織Icenetworks Ltd.相關聯。再次,SOA記錄顯示使用相同的冰島網絡托管提供商OrangeWebsite和電子郵件地址報告@ orangewebsite.com。


域v3solutions4all.com解析為基于冰島的IP地址82.221.129.19(AS50613  -  Advania Island ehf)。此域名和IP地址之前已與BITTER APT相關聯,并基于360-CERT的報告,針對中國政府機構進行網絡釣魚攻擊。


托管域v3solutions4all.com的服務器安裝了Let的加密發布的SSL / TLS證書(SN:284039852848324733535582218696705431782795),有效期為2019年4月29日至2019年7月28日,為期90天。根據證書的主題備選方案名稱(SAN),有九個不同的子域名,用于冒充一個中國政府機構和兩個國有的國防公司:


中華人民共和國外交部(MFA),中國航空技術進出口總公司(CATIC),中國電子進出口總公司(CEIEC)是一家國有企業,由中國中央政府領導,在國家安全和經濟發展的關鍵領域開展國際合作。


以下代表為冒充中國企業并利用其發起網絡釣魚活動而設立的欺詐性子域名:

 


Domain 3 - winmanagerservice.org


域名winmanagerservice .org于2019年2月20日在Registrar OnlineNIC Inc.注冊,并與注冊人組織International Widespread Services Limited相關聯。域名可能是對Windows Service Manager的引用,Windows Service Manager是管理Windows服務各個方面的單一管理點;但是,目前還不清楚所選名稱背后的重要性。


該域名于94.156.175.61(AS206776  -  Histate Global Corp.),位于保加利亞索非亞,也是105個可疑域名的東道主。根據域的SOA記錄,它與2019年2月22日至2019年5月13日的Gmail帳戶techslogonserver {at} gmail . com相關聯。此電子郵件與2016年在印度有地址的一個注冊商相關聯。域名服務器(NS)記錄標識它被分配給名稱服務器dns11.warez-host.com和dns12.warez-host.com,它們也是用于可疑和惡意站點的服務器。


托管域名winmanagerservice.org的服務器安裝了Let's Encrypt-issued SSL / TLS證書(SN:262081132907426754038710300383315550862850),有效期為2019年4月23日至2019年7月22日,為期90天。根據證書的主題選擇名稱(SAN),創建了九個不同的子域來冒充五個獨特的中國組織:


中華人民共和國外交部(MFA),中國航空技術進出口總公司(CATIC),網易服務:126.com和163.com,保利拍賣香港有限公司,一間位于香港的拍賣行。


下圖顯示了欺詐性子域名,并用于安裝網絡釣魚活動:

 


Domain 4 - winmanagerservice.net


域名winmanagerservice.net于2018年11月20日在Registrar NetEarth One Inc.注冊,使用GDPR屏蔽來隱藏注冊人的信息。在本報告發布時,域未解析為IP地址,但是,它分配給兩個名稱服務器:ns1.bitcoin-dns.com和ns2.bitcoin-dns.com。此服務器還可用作各種惡意活動的名稱服務器,例如網絡釣魚,惡意軟件托管和分發以及梳理商店。威脅行為者或團體創建的一個有趣的子域冒充國務院國有資產監督管理委員會(SASAC):


maill.sasac.gov.cn.accountverify.validation8u6453.jsbch876452.nxjkgdg096574.fghe5392.ncdjkbfkj873e65.nckjdbcj86hty1.cdjcksdcuh57hgy43.njkd8766532.njfg73452.kdjsdkj7564.jdchjsdy.rthfgyert231.winmanagerservice.net


在分析時,我們無法檢索以SASAC為主題的網絡釣魚頁面,但確實找到了2018年11月20日在<hxxp://www.winmanagerservice.net /上托管的開放目錄的歷史截圖>包含一個CGI-bin文件夾。2018年惡意域名winmanagerservice.net的屏幕截圖:

 


對winmanagerservice.net的歷史IP地址解析搜索確定它從2018年11月20日到2019年2月22日解析為基于美國的IP地址162.222.215 . 96(AS54020  -  Admo.net LLC)。同樣搜索發現了一個歷史發件人政策框架(SPF)記錄,該記錄指定基于美國的IP地址162.222.215 . 2(AS 8100 QuadraNet Enterprises LLC)被授權代表winmanagerservice.net從12月10日開始發送電子郵件流量,2018年至2019年2月22日。


Domain 5 - cdaxpropsvc.net


域名cdaxpropsvc.net于2019年3月21日在Registrar OnlineNIC Inc.注冊。它與注冊人組織International Widespread Services Limited的阿聯酋注冊人IWS有限公司使用注冊人電子郵件信息@iws.com。對此注冊人電子郵件的反向Whois查詢發現了使用此地址創建的122個域,這些域可追溯到2014年6月8日以及最近的2019年8月1日。


該域名于94.156.175.61,位于保加利亞索非亞,也是105個可疑域名的東道主。根據域的SOA記錄,它自2019年3月22日起與Gmail帳戶techslogonserver@gmail.com相關聯,并分配給名稱服務器dns11.warez-host.com和dns12.warez-host.com。


根據托管域cdaxpropsvc .net的服務器的歷史SSL / TLS證書,我們發現12個子域模仿針對四個國防部門的國有企業和免費電子郵件服務提供商NetEase和Gmail。在分析時,子域名沒有主辦網站;但是,根據威脅參與者或群組的定位模式,很有可能創建它們來托管旨在竊取用戶憑據的虛假登錄網絡釣魚頁面。


中國航空技術進出口總公司(CATIC),中國長城工業總公司(CGWIC),中國政府授權提供商業發射服務,衛星系統和開展空間技術合作的唯一商業組織,中國核工業集團公司(CNNC),一家生產和分銷核電產品,經營核環境工程建設,核軍事開發和其他業務的國有企業,中國中原工程總公司(CZEC)承攬和建設國際核工程和土木工程項目,網易公司服務163.com,Gmail。


以下代表為假冒這些組織而創建的欺詐性子域名,并用于發起網絡釣魚活動:

 



Domain 6 - wangluojiumingjingli.org


在調查IP地址82.221.129.18和域名wangluojiumingjingli.org時,我們發現針對中國政府組織的2個子域模仿:中華人民共和國商務部(MOFCOM)和航空工業公司 中國(AVIC)。 在分析時,航空子域沒有主辦網站; 但是,基于威脅行為者或群組的定位模式,很可能它們是為了托管用于竊取用戶憑據的虛假登錄網頁仿冒頁面而創建的。有一個針對商務部的欺騙網站的屏幕截圖顯示了一個虛假的電子郵件登錄頁。



其中三個域名托管在同一個托管服務提供商處;orangewebsite.com。該托管服務提供商位于冰島,擁有特別強大的數字隱私協議,幾乎沒有互聯網審查。托管服務提供商也接受比特幣作為支付方式,這很可能是它用于惡意目的的吸引力。


防護建議


1, 迅速核查事件影響,將釣魚網站地址加入黑名單,阻斷訪問渠道;
2, 及時修改電子郵件賬戶口令,防止信息泄露;
3, 開展網絡安全隱患排查和安全加固工作,提高安全防范能力;

4, 發現網絡攻擊及時處置并報告。



IOC


以下信息已更新至www.venuseye.com.cn平臺。
325ece940de9fb486ef83b680ad00d385b64e435923d1bbc19cbcf33e220c2a2
5538badac0221b42f457920802b23ebd8ccf2c64b1fb827cd6458a7f9de2c6de
6a10a699f0ef084f5070968ae3cc35075990778bf82dca7e0477eeaebbee4eb1
7bc4f48a4345f4a47dabbf686a714d3e4c9af9d9f26e73ca873f54a4f164b732
823f85eb6d3465145bb34e570b870e39001c4ec61f7ca325f88a23edee75654f
940a1bd16be51cd264ee7e315841b8aa0b0b86d3392d4d08ca00151f01a5cd28
f456f2a2802242e1404ef9a586366820c4bd7f7f3b113209d56fc34dee2d75bf
82.221.129.17
82.221.129.18
82.221.129.19
94.156.175.61
btappclientsvc.net
cdaxpropsvc.net
mail.btappclientsvc.net
mail.v3solutions4all.com
mail.winmanagerservice.org
maill.126.com.cn.accountvalidation.vj65rfy785ru76.com.winmanagerservice.org
maill.163.com.accountvalidation.verifay768ht7u6h.com.cdaxpropsvc.net
maill.163.com.cn.accountvalidation.bh34567gh67.com.winmanagerservice.org
maill.catic.cn.accountvalidation.verifay.ysfts69887tgyu67tg6r.com.btappclientsvc.net
maill.catic.cn.accountvalidation.verifay783g677hui.com.cdaxpropsvc.net
maill.catic.cn.accountverify.validation567fg57f58g6.com.winmanagerservice.org
maill.catic.cn.accountverify.validation8u2745.v3solutions4all.com
maill.ceiec.cn.accountverify.validation7h8k97hnku0j.com.v3solutions4all.com
maill.cgwic.com.accountvalidation.verifay765hgy87.com.cdaxpropsvc.net
maill.cnnc.com.cn.accountvalidation.verifay2367bdg56.com.cdaxpropsvc.net
maill.czec.com.cn.accountvalidation.verifay728gh4dgy6378et6.com.cdaxpropsvc.net
maill.mfa.gov.cn.accountverify.validation8u77654.winmanagerservice.org
maill.mfa.gov.cn.accountverify.validation8u77654.winmanagerservice.org
maill.mfa.gov.cn.accountverify.validationgyy837rgyud2378rry.com.v3solutions4all.com
maill.ndrc.gov.cn.accountvalidation.verifay.vhj876uh786uy687.com.btappclientsvc.net
maill.polyauction.com.accountvalidation.security.jjh98iukhuj78.com.winmanagerservice.org
maill.sasac.gov.cn.accountverify.validation8u6453.jsbch876452.nxjkgdg096574.fghe5392.ncdjkbfkj873e65.nckjdbcj86hty1.cdjcksdcuh57hgy43.njkd8766532.njfg73452.kdjsdkj7564.jdchjsdy.rthfgyert231.winmanagerservice.net
mailll.mfa.gov.cn.accountvalidation.verifay.jk78huy688h67kjg7it8.com.btappclientsvc.net
techslogonserver@gmail.com
v3solutions4all.com
wangluojiumingjingli.org
webmail.avic.com.accountverify.validation8u7329.jsbchk82056.nxjkgdgf34523.fghe5103.ncdjkbfkjh5674e.nckjdbcj86hty1.cdjcksdcuh57hgy43.njkd75894t5.njfg87543.kdjsdkj7564.jdchjsdy.rthfgyerty86.wangluojiumingjingli.org
webmail.mofcom.gov.cn.accountverify.validation8u2904.jsbchkufd546.nxjkgdgfhh345s.fghese4.ncdjkbfkjh244e.nckjdbcj86hty1.cdjcksdcuh57hgy43.njkd75894t5.njfg87543.kdjsdkj7564.jdchjsdy.rthfgyerty33.wangluojiumingjingli.org
winmanagerservice.net
winmanagerservice.org


參考鏈接


https://www.anomali.com/blog/suspected-bitter-apt-continues-targeting-government-of-china-and-chinese-organ



上一篇 下一篇