首頁 > 安全研究 > 安全通報 > 安全通告

針對多國政府網絡的釣魚活動事件風險通告

發布時間 2019-12-16

事件概述


近日,異常威脅研究小組發現了一項新的網絡釣魚活動,旨在從美、歐洲和亞洲的政府部門竊取登錄憑據,目前尚不清楚幕后黑手是誰,但看來確實是持續的攻擊。欺騙性網絡釣魚站點域托管在土耳其和羅馬尼亞,該活動目前處于休眠狀態。


總體而言,美國、加拿大、中國、澳大利亞、瑞典等國家中的22個組織已經明確遭受此次網絡釣魚攻擊。攻擊方式都差不多,涉及與目標政府機構有關的電子郵件,欺騙受害者點擊電子郵件鏈接,然后輸入其用戶名和密碼。


異常威脅研究小組確定了一項憑證收集活動,旨在從多個政府采購服務中竊取登錄詳細信息。許多公共和私營部門組織都使用采購服務來匹配買家和供應商。在此運動中,攻擊者欺騙了多個國際政府部門,電子郵件服務和兩個快遞服務的站點。發現通過網絡釣魚電子郵件發送的誘餌文檔包含指向欺騙性網絡釣魚站點的鏈接,這些鏈接偽裝成與欺騙性政府機構有關的合法登錄頁面。然后,誘使被誘騙者追蹤網絡釣魚電子郵件鏈接的受害者登錄。成為對手受害者的任何人都將向他們提供憑據。


事件影響


   受影響的組織包括:

美國-美國能源部

美國-美國商務部

美國-美國退伍軍人事務部

美國-新澤西州房屋及抵押金融局

美國-馬里蘭州政府采購服務

美國-佛羅里達管理服務部

美國-交通部

美國-住房和城市發展部

DHL國際快遞服務

加拿大-政府電子采購服務

墨西哥-政府電子采購服務

秘魯-公共采購中心

中國-順豐快遞服務

中國-交通運輸部

日本-經濟產業省

新加坡-工業和貿易部

馬來西亞-國際貿易和工業部

澳大利亞-政府電子采購門戶

瑞典-政府機關國家公共采購局

波蘭-貿易和投資署


目標國家:

   圖1中的熱圖顯示,美國主要是針對性的,有50多個釣魚網站旨在竊取欺騙美國組織的憑據。加拿大,日本和波蘭分別緊隨其后的分別是7、6和6個釣魚網站。此運動的目標國家是:

美國

中國

新加坡

瑞典

南非

墨西哥

日本

馬來西亞

波蘭

秘魯

加拿大

澳大利亞



圖1.以政府采購站點為目標的網絡釣魚站點的國家熱圖


目標行業:

此活動針對以下行業:圖2顯示,政府門戶網站中專門用于竊取憑據的釣魚網站數量最多。

政府

電郵服務

送貨,郵費和運輸



圖2.餅圖顯示了按行業劃分的欺騙組織的數量


事件分析


誘餌文件:


此運動的目標受害者很可能在網絡釣魚電子郵件中發送了誘餌文件。誘餌文件旨在迎合其目標政府所在國家/地區的語言。南非誘餌文件是用英語寫的,但南非是多種語言(包括英語)的所在地。圖3顯示了發現的誘餌文件的一些示例。



圖3.該活動中觀察到的誘餌文件


上面的誘餌文檔包含一個嵌入式鏈接:



圖4. pdf文檔中的嵌入式鏈接誘騙了美國商務部


上面的PDF文件名ITB_USDOC.pdf中的鏈接(圖4)具有一個嵌入式鏈接,該鏈接將受害者定向到托管在惡意域“40-71.xyz”上的網絡釣魚頁面。該文檔已提交給美國和法國的VirusTotal(作為電子郵件的一部分,但該電子郵件不可用)。


憑證收集站點


所有站點都使用“cPanel,Inc”頒發的域驗證(DV)證書。子域具有類似的命名約定,以在線憑據為目標,并包含安全,驗證,出價或交付主題。圖5顯示了攻擊者創建的憑證收集頁面的示例。



圖5.在該活動中觀察到的憑證收集站點


網頁上有清晰的標志和標簽,詳細說明了攻擊者試圖模仿的組織。攻擊者使用了合法域以及自己的基礎結構。美國能源部的網頁托管在“https://energy.gov.secure.server-bidsync.best/auth/login.html”上,并從以下網址重定向:


“http://energy.gov.secure.bidsync.newnepaltreks.com”。重定向URL基于合法域名“newnepaltreks.com”,該域名很可能已被泄密,以助于進行此攻擊。


威脅基礎架構


在調查過程中,發現了62個域和大約122個網絡釣魚站點。域上托管的所有網絡釣魚站點都具有相似的命名約定:

目標域或服務寫為子域,后跟惡意域或受感染的服務器。


身份驗證,出價同步,采購或交付主題


網絡釣魚站點主要托管在以下四個IP地址上的租用基礎結構上:


31.210.96.221

193.29.187.173

91.235.116.146

188.241.58.170


對最初確定的域“server-bidsync.best”的調查確定了從客戶端瀏覽器到惡意域的通信中的資源哈希。調查了對https://energy.gov.secure.server-bidsync.best/auth/alter.css的GET請求,樣式形式“alter.css”,并且CSS腳本cd9dcb1922df26eb999a4405b282809051a18f8aa6e68edb71d619c92ebcf82d的資源哈希值導致14托管類似網絡釣魚站點的新域。在許多情況下,子域的編寫方式完全相同,從而欺騙了剛剛托管在不同域中的同一組織。使用命名約定模式和新域作為進一步的樞紐點,導致發現了針對進一步政府采購服務的網絡釣魚站點。



圖6.欺騙組織的基礎結構概述


IP地址為31.210.96.221托管此活動的網絡釣魚網站的域于2019年10月28日首次注冊,域名以server-bidsync.best開始。該IP地址已在土耳其注冊,并且過去曾參與惡意活動。其中最突出的是“leastinfo.com”域,該域在一次針對亞洲金融機構以及烏爾都語和阿拉伯語使用者使用的軟件的零日漏洞攻擊活動中出現。其他三個IP地址都在羅馬尼亞注冊。組織還被假冒在合法域“newnepaltreks.com”,“lazapateriadematilda.cl”和“onsearch”中的網絡釣魚網站所欺騙,這些網站可能已經受到破壞。


事件結論


這項憑證收集活動主要針對政府招標和采購服務。對這些服務的關注表明,威脅行為者對目標政府的潛在承包商和/供應商感興趣。該洞察力的目的可能是為了使競爭對手勝出而采取的經濟激勵措施,或者是有關潛在供應商與相關政府之間的信任關系的更長期洞察力。諸如此類的活動很難防范,因為除非托管網絡釣魚頁面的域被認為是惡意的,否則組織防火墻將不會阻止它。合法站點還托管了釣魚頁面,并且可能在競選活動中遭到破壞。


參考鏈接


https://www.anomali.com/resources/whitepapers/phishing-campaign-targets-login-credentials-of-multiple-us-international-government-procurement-services

上一篇 下一篇