Anomali团队捕捉了一个针对中国政府部门的网站垂纶进击行为 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Anomali团队捕捉了一个针对中国政府部门的网站垂纶进击行为

申博_安全防护 申博 125次浏览 已收录 0个评论

Anomali团队捕捉了一个针对中国政府部门的网站垂纶进击行为

Anomali要挟研讨小组近来发明了一个收集垂纶网站假装中华人民共和国外交部电子邮件效劳的登录页面。假如接见者尝试登录这个垂纶页面,网站就会向他们弹出一条考证音讯,请求用户封闭窗口并继承阅读。研讨人员经由历程对进击者的基础设施举行进一步剖析后发明,其幕后进击者还针对中国的其他政府网站和国有企业网站举行了大范围的垂纶运动。在观察中发明的一个域名被中国平安供应商“CERT 360”认定为2019年5月“APT歹意进击”的一部份。现在Anomali已确认,幕后的策划者还会进一步对中国的政府网站提议进一步进击。基于Let’s Encrypt证书宣布日期,研讨人员以为该运动最先于2019年5月。研讨人员估计,BITTER APT将继承以中国的政府为目标,应用捏造的登录页面盗取用户凭证,猎取特权账户信息。

发明历程

一最先,Anomali的研讨人员发明了一个相似外交部电子邮件登录页面的网站,进一步观察发明,尚有另有约莫40个被进击的网站,都和中国的政府和其他构造有关。一切被进击的网站都运用“Let’s Encrypt”颁布的域考证(DV)证书。子域名好像有相似的定名商定,重要针对在线邮件登录,并包含考证或帐户考证主题。

收集垂纶的历程

下面的截图是最初发明的样本,域名“btappclientsvc[.]net” 上托管的网站已于2019年5月30日注册。

Anomali团队捕捉了一个针对中国政府部门的网站垂纶进击行为

针对外交部的垂纶网站

该垂纶网站被特地设想成外交部的登录页面(mail.mfa.gov.cn),很有多是克隆了原始页面。它与以下网站相似,并与此进击系列中标识的子域一致。这些垂纶网站的目标好像是盗取外交部(MFA)的电子邮件凭证。一旦用户输入了凭证,就会看到图2中的音讯。

Anomali团队捕捉了一个针对中国政府部门的网站垂纶进击行为

受害者登录网站后的音讯

Anomali团队捕捉了一个针对中国政府部门的网站垂纶进击行为

针对中国航空手艺进出口总公司(CATIC)的垂纶网站

Anomali团队捕捉了一个针对中国政府部门的网站垂纶进击行为

针对国度发改委的垂纶网站

Anomali团队捕捉了一个针对中国政府部门的网站垂纶进击行为

针对中华人民共和国商务部的垂纶网站

图5所示的垂纶网站是经由历程运用URL短地点“TinyURL”流传的,该URL  “tinyurl[.]com/y4nvpj56”会被重定向到

webmail.mofcom.gov.cn.accountverify.validation8u2904.jsbchkufd546.nxjkgdgfhh345s.fghese4.ncdjkbfkjh244e.nckjdbcj86hty1.cdjcksdcuh57hgy43.njkd75894t5.njfg87543.kdjsdkj7564.jdchjsdy.rthfgyerty33.wangluojiumingjingli[.]org

基础设施的剖析

在剖析历程当中,我们肯定了6个域和40多个子域,它们模仿了以下内容:

1. 四家中华人民共和国政府机构;

2. 6个国有企业;

3. 一家香港拍卖行;

4. 两家电子邮件效劳商(网易公司和Gmail)。

值得注意的是,每一个子域模仿都包含一个相似的定名构造,这能够示意在最新的垂纶运动中触及雷同的要挟参与者或整体。以下重点引见定名的相似之处:

1. 字母和数字的随机序列;

2. 以歹意域名末端;

3. 在“mail”一词中增添一两个“l”字,如“maill”或“mailll”;

4. 运用进击目标的正当域名;

5.“accountvalidation”和“verify”两个词的变体。

以下部份供应了有关每一个歹意域的更多详细信息:

btappclientsvc[.]net

域名btappclientsvc[.]net 于2019年5月30日在域名注册效劳商BS Corp.注册了IceNetworks Ltd.。而且注册时运用了隐私庇护效劳,以坚持注册人详细信息的隐私。依据权限最先(SOA)纪录,此域与电子邮件地点[email protected][.]com相干。而[email protected][.]com又与冰岛收集托管,VPS和名为OrangeWebsite的专用效劳器供应商相干联。

该域名托管在基于冰岛的IP地点82.221.129[.]17,并分配给该构造,Advania Island ehf (AS50613)。在过去十二个月,有人观察到该IP托管伪装成差别行业构造的垂纶网站,包含:

金融(巴克莱,瑞士信贷,Keytrade银行);

付款处置惩罚(PayPal);

加密钱银(Bittrex)。

托管域名btappclientsvc[.]net的效劳器装置Let’s Encrypt-issued SSL/TLS 证书(SN: 308431922980607599428388630560406258271383),有效期为2019年7月30日至2019年10月28日,为期90天。依据证书的主题备选计划称号(SAN),进击者建立了四个差别的子域名来模仿两个中华人民共和国政府机构和一家国有国防企业:

中国航空手艺进出口总公司;

中华人民共和国外交部;

国度生长和革新委员会。

下图显现了假装中华人民共和国构造而建立的垂纶子域名,进击者就是应用这些子域名提议的垂纶运动:

Anomali团队捕捉了一个针对中国政府部门的网站垂纶进击行为

2019年5月30日建立的域名的三个重要目标(中航产业、MFA和发改委)

v3solutions4all[.]com

亚马逊 S3 存储桶勒索软件攻防详解(下)

S3 勒索软件概述 正如本博文的第一部分所阐述的,S3勒索软件是一种可以对公司造成极大影响的攻击。 S3勒索软件是指攻击者能够访问受害者的 S3 存储桶,然后用自身的新副本替换每个对象,但用攻击者的 KMS 密钥进行加密。 受害者将不再能够访问他们自己的 S3对象,需要服从攻击者的要求才能获得这些对象(或者花费额外的时间成本冒着去当局或 AWS 进行事件响应的风险)。 方法 # 3: 在你的账户中记录和监控活动 你应该始终在你的帐户中启用 AWS CloudTrail。

与第一个域相似,v3solutions4all[.]com也于2018年12月28日在BS Corp.举行了注册,并与注册机构Icenetworks Ltd.关联。一样,SOA纪录显现该域名也运用了雷同的冰岛收集托管供应商OrangeWebsite和电子邮件地点[email protected][.]com。orangewebsite,成立于2006年,冰岛主机商,运作:虚拟主机、VPS、自力效劳器,数据中心在”雷克雅末克“,也就是冰岛都城。

域v3solutions4all[.]com剖析为基于冰岛的IP地点82.221.129[.]19 (AS50613 – Advania Island ehf).。基于360-CERT的报告,研讨人员以为该域名和IP地点此前一向与歹意APT联络在一起,并用垂纶进击的体式格局进击中国政府机构。

托管域 v3solutions4all[.]com的效劳器已装置 Let’s Encrypt-issued SSL/TLS certificate (SN: 284039852848324733535582218696705431782795),有效期为90天,从2019年4月29日至2019年7月28日。依据证书的主题备选计划称号(SAN),总共有九个差别的子域名,用于假装一个中国政府机构和两个国防公司:

中华人民共和国外交部;

中国航空手艺进出口总公司(CATIC);

中国电子进出口总公司(CEIEC)。

以下是为假装中华人民共和国机构而建立的垂纶子域名,黑客就是应用这些子域名提议的垂纶运动:

Anomali团队捕捉了一个针对中国政府部门的网站垂纶进击行为

2018年12月28日建立的域名的三个重要进击目标(CATIC,CEIEC和MFA)

winmanagerservice[.]org

域winmanagerservice[.]org于2019年2月20日在OnlineNIC 公司注册,并与注册机构 International Widespread Services Limited相干联。该域名很多是对WindowManagerService(以下简称 WMS)的援用。

该域名托管在 94.156.175[.]61 (AS206776 – Histate Global Corp.),位于保加利,也是105个可疑域名的托管效劳器。依据域的SOA纪录,该域名与Gmail帐户techslogonserver{at}gmail[.]com相干联。2019年2月22日至5月13日,这封邮件的地点的注册商位于印度,该域名的称号效劳器(NS)纪录标识它被分配到称号效劳器dns11.warez-host.com和dns12.warez-host.com,这两个效劳器也用于可疑和歹意网站。

托管域名winmanagerservice[.]org的效劳器装置了Let’s Encrypt-issued SSL/TLS证书(SN:262081132907426754038710300383315550862850),有效期为2019年4月23日至2019年7月22日,为期90天。依据证书的主题挑选称号(SAN),能够晓得,建立的9个差别的子域名被用来模仿5个中国境内的网站:

中华人民共和国外交部;

中国航空手艺进出口总公司;

网易效劳:126.com和163.com;

保利拍卖香港有限公司。

下图显就是被垂纶进击后的域名,进击者就是应用这些子域名提议垂纶运动的:

Anomali团队捕捉了一个针对中国政府部门的网站垂纶进击行为

2019年2月20日建立的域的重要进击目标(Polyauction house,MFA,CATIC,163和126)

winmanagerservice[.]net

域winmanagerservice[.]net于2018年11月20日在NetEarth One 公司被注册,并运用GDPR屏障来隐蔽注册人的信息。停止发稿时,该域并没有被剖析为IP地点,然则,它被分配给两个称号效劳器: ns1.bitcoin-dns[.]com 和ns2.bitcoin-dns[.]com.。别的,此效劳器还可用作种种歹意运动的称号效劳器,比方收集垂纶,歹意软件托管和流传以及刷卡市肆。这意味着,要挟行动者会模仿国务院国有资产监督管理委员会(国资委)建立一个垂纶子域名:

maill[.]sasac[.]gov[.]cn[.]accountverify.validation8u6453.jsbch876452.nxjkgdg096574.fghe5392.ncdjkbfkj873e65.nckjdbcj86hty1.cdjcksdcuh57hgy43.njkd8766532.njfg73452.kdjsdkj7564.jdchjsdy.rthfgyert231.winmanagerservice[.]net

不过在对该子域名举行剖析时,研讨人是没法检索到以SASAC为主题的收集垂纶页面。荣幸的是,研讨人员发明了一张2018年11月20日的汗青截屏,以下所示,研讨人员发明了托管在<hxxp://www[.]winmanagerservice[.]net/> 上的一个开放目次包含了一个零丁的CGI-bin文件夹。CGI-BIN是一种迥殊的目次,在举行交互式的WWW接见(如填写在线表格)时,须要效劳器上有 响应的顺序对接见者输入的信息举行处置惩罚,这些顺序就是CGI顺序。CGI顺序不能放在恣意的目次下,只能放在CGI-BIN目次下。有的虚拟主机体系只供应一个公用的CGI-BIN目次,安排一些常常使用 的CGI顺序供虚拟主机用户运用,这对用户不够轻易,由于用户常常须要安排本身编制的CGI顺序。

Anomali团队捕捉了一个针对中国政府部门的网站垂纶进击行为

2018年歹意域名winmanagerservice[.]net 的屏幕截图

经由历程对2018年歹意域名winmanagerservice[.]net 的屏幕截图的汗青IP地点举行剖析,研讨人员肯定它从2018年11月20日到2019年2月22日,运用了基于美国的IP地点162.222.215[.]96 (AS54020 – Admo.net LLC)。别的,研讨人员还发明了一个发件人战略框架(Sender Policy Framework,SPF)纪录,该纪录指定了基于美国的IP地点162.222.215[.]2 (AS 8100 QuadraNet Enterprises LLC)的winmanagerservice[.]net能够从2018年12月10日至2019年2月22日发送电子邮件。

cdaxpropsvc[.]net

域cdaxpropsvc[.]net于2019年3月21日在OnlineNIC 公司被注册,对此注册人电子邮件的反向Whois查询发明,运用此地点建立的122个域,这些域可追溯到2014年6月8日以及近来的2019年8月1日。

域名托管在94.156.175[.]61,位于保加利。依据域的SOA纪录,它与Gmail帐户techslogonserver{at}gmail[.]com相干联。自2019年3月22日起,该域被分配给dns11.warez-host.com和dns12.warez-host.com定名效劳器。

依据托管域cdaxpropsvc[.]net的效劳器的汗青SSL / TLS证书,研讨人员发明共有12个子域对四个国防企业与免费电子邮件效劳供应商NetEase和Gmail举行了垂纶进击。但这些子域名并没有托管网站,所以研讨人员猜想,它们很有多是用来托管旨在盗取用户凭证的子虚登录收集垂纶页面的。受影响的企业包含:

中国航空手艺进出口总公司(CATIC);

中国长城产业集团公司(CGWIC);

中国核产业集团公司(CNNC);

中国华夏工程集团公司(CZEC);

网易公司效劳163.com;

Gmail。

以下就是那些被建立的收集垂纶页面的子域名,进击者就是应用这些子域名提议垂纶进击的:

Anomali团队捕捉了一个针对中国政府部门的网站垂纶进击行为

2019年3月21日建立的域名的重要目标(CATIC、CGWIC、CNNC、CZEC、163和Gmail)

wangluojiumingjingli[.]org

当观察IP地82.221.129[.]18和域名wangluojiumingjingli[.]org时,研讨人员发明了两个针对中国政府机构的垂纶子域名:中华人民共和国商务部(MOFCOM)和中国航空产业集团公司(AVIC)。在剖析时,虽然中国航空产业集团公司的子域名没有托管网站,但是,它们很多是被建立来托管用于盗取用户凭证的子虚登录垂纶页面的。这个针对商务部的垂纶网站的截图显现了一个捏造的电子邮件登录页面。

Anomali团队捕捉了一个针对中国政府部门的网站垂纶进击行为

2019年4月建立的域名的重要进击目标(商务部和中航产业)

个中的三个域名被托管在同一个效劳商:orangewebsite.com,该托管效劳供应商总部位于冰岛,具有迥殊壮大的数字隐私协定,险些不受互联网检察。别的,托管供应商还接收比特币作为付出体式格局,这多是它吸收歹意进击者立足于此的缘由吧。

总结

Anomali要挟研讨小组发明了一种新的收集垂纶进击,它应用了一些垂纶网站,盗取目标受害者的电子邮件凭证。虽然现在很难查明进击者的确实效果,但研讨人员以为这很多是为了处置某种情势的间谍运动。

本文翻译自:https://www.anomali.com/blog/suspected-bitter-apt-continues-targeting-government-of-china-and-chinese-organizations#When:19:24:00Z


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Anomali团队捕捉了一个针对中国政府部门的网站垂纶进击行为
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址