首页 > 安全钻研 > 安全传递 > 安全公告

针对多国当局网络的垂钓活动事务风险公告

颁布功夫 2019-12-16

事务概述

近日，异常威胁钻研幼组发现了一项新的网络垂钓活动，旨在从美、欧洲和亚洲确当部门门窃取登录痛处，目前尚不明显幕后黑手是谁，但看来的确是持续的攻击。糊弄性网络垂钓站点域托管在土耳其和罗马尼亚，该活动目前处于休眠状态。

总体而言，美国、加拿大、中国、澳大利亚、瑞典等国度中的22个组织已经明确遭逢这次网络垂钓攻击。攻击方式都差不多，涉及与指标当局机构有关的电子邮件，糊弄受害者点击电子邮件链接，而后输入其用户名和密码。

异常威胁钻研幼组确定了一项凭证网络活动，旨在从多个当局采购服务中窃取登录具体信息。很多公共和私营部门组织都使用采购服务来匹配买家和供给商。在此活动中，攻击者糊弄了多个国际当部门门，电子邮件服务和两个快递服务的站点。发现通过网络垂钓电子邮件发送的钓饵文档蕴含指向糊弄性网络垂钓站点的链接，这些链接假装成与糊弄性当局机构有关的合法登录页面。而后，诱使被诱骗者追踪网络垂钓电子邮件链接的受害者登录。成为敌手受害者的任何人都将向他们提供痛处。

事务影响

受影响的组织蕴含：

美国-美国能源部

美国-美国商务部

美国-美国退役武士事务部

美国-新泽西州房屋及抵押金融局

美国-马里兰州当局采购服务

美国-佛罗里达治理服务部

美国-交通部

美国-住房和城市发展部

DHL国际快递服务

加拿大-当局电子采购服务

墨西哥-当局电子采购服务

秘鲁-公共采购中心

中国-顺丰快递服务

中国-交通运输部

日本-经济产业省

新加坡-工业和业务部

马来西亚-国际业务和工业部

澳大利亚-当局电子采购门户

瑞典-当局机关国度公共采购局

波兰-业务和投资署

指标国度：

图1中的热图显示，美国重要是针对性的，有50多个垂钓网站旨在窃取糊弄美国组织的痛处。加拿大，日本和波兰别离紧随其后的别离是7、6和6个垂钓网站。此活动的指标国度是：

美国

中国

新加坡

瑞典

南非

墨西哥

日本

马来西亚

波兰

秘鲁

加拿大

澳大利亚

GA黄金甲·(中国区)官方网站

图1.以当局采购站点为指标的网络垂钓站点的国度热图

指标行业：

此活动针对以下行业：图2显示，当局门户网站中专门用于窃取痛处的垂钓网站数量最多。

当局

电邮服务

送货，邮费和运输

GA黄金甲·(中国区)官方网站

图2.饼图显示了按行业划分的糊弄组织的数量

事务分析

钓饵文件：

此活动的指标受害者很可能在网络垂钓电子邮件中发送了钓饵文件。钓饵文件旨在投合其指标当局地点国度/地域的说话。南非钓饵文件是用英语写的，但南非是多种说话（蕴含英语）的地点地。图3显示了发现的钓饵文件的一些示例。

GA黄金甲·(中国区)官方网站

图3.该活动中观察到的钓饵文件

上面的钓饵文档蕴含一个嵌入式链接：

GA黄金甲·(中国区)官方网站

图4. pdf文档中的嵌入式链接诱骗了美国商务部

上面的PDF文件名ITB_USDOC.pdf中的链接（图4）拥有一个嵌入式链接，该链接将受害者定向到托管在恶意域“40-71.xyz”上的网络垂钓页面。该文档已提交给美国和法国的VirusTotal（作为电子邮件的一部门，但该电子邮件不成用）。

凭证网络站点

所有站点都使用“cPanel，Inc”宣告的域验证（DV）证书。子域拥有类似的定名约定，以在线痛处为指标，并蕴含安全，验证，出价或交付主题。图5显示了攻击者创建的凭证网络页面的示例。

GA黄金甲·(中国区)官方网站

图5.在该活动中观察到的凭证网络站点

网页上有清澈的标志和标签，具体说了然攻击者试图仿照的组织。攻击者使用了合法域以及自己的基础结构。美国能源部的网页托管在“https：//energy.gov.secure.server-bidsync.best/auth/login.html”上，并从以下网址沉定向：

“http://energy.gov.secure.bidsync.newnepaltreks.com”。沉定向URL基于合法域名“newnepaltreks.com”，该域名很可能已被泄密，以助于进行此攻击。

威胁基础架构

在调查过程中，发现了62个域和约莫122个网络垂钓站点。域上托管的所有网络垂钓站点都拥有类似的定名约定：

指标域或服务写为子域，后跟恶意域或受习染的服务器。

身份验证，出价同步，采购或交付主题

网络垂钓站点重要托管在以下四个IP地址上的租用基础结构上：

31.210.96.221

193.29.187.173

91.235.116.146

188.241.58.170

对最初确定的域“server-bidsync.best”的调查确定了从客户端浏览器到恶意域的通讯中的资源哈希。调查了对https：//energy.gov.secure.server-bidsync.best/auth/alter.css的GET要求，形状大局“alter.css”，并且CSS剧本cd9dcb1922df26eb999a4405b282809051a18f8aa6e68edb71d619c92ebcf82d的资源哈希值导致14托管类似网络垂钓站点的新域。在很多情况下，子域的编写方式齐全一样，从而糊弄了刚刚托管在分歧域中的统一组织。使用定名约定模式和新域作为进一步的枢纽点，导致发现了针对进一步当局采购服务的网络垂钓站点。

GA黄金甲·(中国区)官方网站

图6.糊弄组织的基础结构概述

IP地址为31.210.96.221托管此活动的网络垂钓网站的域于2019年10月28日初次注册，域名以server-bidsync.best起头。该IP地址已在土耳其注册，并且从前曾参加恶意活动。其中最凸起的是“leastinfo.com”域，该域在一次针对亚洲金融机构以及乌尔都语和阿拉伯语使用者使用的软件的零日缝隙攻击活动中出现。其他三个IP地址都在罗马尼亚注册。组织还被假冒在合法域“newnepaltreks.com”，“lazapateriadematilda.cl”和“onsearch”中的网络垂钓网站所糊弄，这些网站可能已经受到粉碎。

事务结论

这项凭证网络活动重要针对当局招标和采购服务。对这些服务的关注批注，威胁行为者对指标当局的潜在承包商和/供给商感兴致。该洞察力的主张可能是为了使竞争敌手胜出而采取的经济激励措施，或者是有关潜在供给商与有关当局之间的信赖关系的更持久洞察力。诸如此类的活动很难防备，由于除非托管网络垂钓页面的域被以为是恶意的，不然组织防火墙将不会阻止它。合法站点还托管了垂钓页面，并且可能在竞选活动中遭到粉碎。

参考链接

https://www.anomali.com/resources/whitepapers/phishing-campaign-targets-login-credentials-of-multiple-us-international-government-procurement-services

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

针对多国当局网络的垂钓活动事务风险公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线