亚博全站APP登录

针对我国和南亚次大陆等国家的钓鱼攻击活动分析

时间 :  2021年11月01日  来(lai)源:  安天CERT


        今年3月份以来,安天CERT陆续捕获了多批次印度方向APT组织对我国的网络攻击活动。攻击者利用各种手段搭建钓鱼网站,针对我国的政府、军工、高校、航天等领域进行钓鱼攻击,并对部分南亚国家等投递多平台的远控木马进行窃密活动。安天根据已掌握的数据进行汇总、梳理、分析并形成本篇报告揭露其相关攻击活动。


1. 概述


        2021年3月份以来,安天捕获了多起针对我国和部分南亚次大陆国家等的钓鱼攻击活动,该活动涉及网络节点数目众多,主要攻击目标为中国、尼泊尔、巴基斯坦、斯里兰卡、孟加拉国、阿富汗以及马尔代夫等国家的政府、国防军事以及国企单位。攻击者会将自身伪装成目标国家的政府或军队人员,向对方邮箱投递挂有钓鱼附件或嵌有钓鱼链接的攻击邮件,并诱导目标通过链接访问攻击者通过各种方式搭建的钓鱼网站,收集受害者输入的账号密码以供情报收集或横向攻击所用。

        通过对这系列攻击活动进行关联分析,安天发现活动的最早时间可追溯至2019年4月份,同时发现其与上半年另一批次对南亚地区的木马投递活动具有密切的关系。总结本次攻击活动的重要特征如下表。

表1-1 攻击活动特征

事件要点

高度(du)拟真的社会工程学攻击

事件概(gai)述

针对我国(guo)和南亚(ya)次大陆等国(guo)家钓鱼攻击活(huo)动

攻击意图

情报收集(ji)

组织来源

印度

攻击手法

鱼叉式钓鱼邮件、钓鱼网站、Web渗透

攻击时(shi)间(jian)

最早可追溯到20194月,至今保持活跃

攻(gong)击(ji)目标

中国、尼泊尔、巴基斯坦、孟(meng)加拉国、马尔代夫、阿富汗、斯里兰(lan)卡(ka)等国家的国企、政府以及军队单位




2. 钓鱼活动分析


        通过对此系列攻击中观察到的数百个钓鱼网页进行分析梳理,可按照钓鱼链接的嵌入方式对攻击邮件分成两类,并按照搭建的方式对钓鱼网站分成两类。

2.1 钓鱼网站类型

2.1.1 类型1:滥用PaaS托管服务

        攻击者会利用多个第三方PaaS服务平台搭建钓鱼网站,实际观测中以netlify.app、herokuapp.com和netlify.com为主。对这些钓鱼网站进行统计,可大致分为以下两种类型:

        1.自动跳转型:即受害者通过钓鱼链接访问钓鱼网页时,钓鱼网页首先会展示“受限制”、“ 更新电子邮件系统”等名义的静态网页,在等待攻击者设置的时间后,该钓鱼网页会弹出“您的邮箱登录超时,已退出,请重新登录.”、“您账户所在的域已经过期”等弹窗,当受害者确认弹窗后,便会跳转至攻击者仿冒的邮箱登录页面。

图2-1 仿冒中国某进出口公司邮件系统的跳转流程


图2-2 钓鱼网页跳转操作代码


        2. 直接展示型:即受害者打开邮件中的钓鱼链接访问钓鱼网站后,攻击者仿冒的邮件登录页面会直接展示给受害者,当受害者输入账号密码进行登录后,钓鱼网站便会将账号密码信息回传至钓鱼后台,随后钓鱼后台便会将网页跳转至仿冒对象的官方网站,或者展示并下载与仿冒对象相关的白文档文件。

图2-3 仿冒中国某大学邮件系统


图2-4 向远程服务器传输凭证数据


        截至发稿时,观察到PaaS服务滥用型的钓鱼网站已过百个,其中部分是针对我国的各大高校、国企以及政府等重要单位,另有大部分是针对南亚地区如巴基斯坦、尼泊尔和孟加拉国等国的军政国防外交等领域。

表2-1 针对中国的部分钓鱼域名案例


表2-2 针对其他南亚国家等的钓鱼域名案例

钓鱼域名

仿冒的目(mu)标域名

仿冒对(dui)象

mail-paf-gov-pk. *.app

mail.paf.gov.pk

巴(ba)基斯坦空军(jun)

mail-paknavy-gov-pk-pdf-*. *.app

mail.paknavy.gov.pk

巴基斯坦(tan)海军

mail-mofa-gov-pk. *.app

mail.mofa.gov.pk

巴基斯(si)坦外交部

mail-mofa-gov-np. *.app

mail.mofa.gov.np

尼泊尔(er)外交部

mail-nepalarmy-mil-np-owamsg. *.app

mail.nepalarmy.mil.np

尼(ni)泊尔军(jun)队

mail-mod-gov-np-*-terrorist-*. *.app

mail.mod.gov.np

尼泊(bo)尔国防部

mail-navy-mil-bd-loginhjdh. *.com

mail.navy. mil.bd

孟(meng)加拉(la)国(guo)海军

mailafd-govbd-signin-true. *.com

mail.afd.gov.bd

孟(meng)加(jia)拉(la)国(guo)武装部(bu)队

mail-dscsc-mil-bd. *.app

mail.dscsc.mil.bd

孟加(jia)拉国国防指挥与(yu)参谋学院(yuan)

mail-mod-gov-af-owa. *.com

mail.mod.gov.af

阿富汗国民(min)军

login-mfamail-foreign-gov-mv. *.com

mail.foreign.gov.mv

马尔代夫外交部(bu)

mail-navy-lk-western-general. *.com

mail.navy.lk

斯(si)里兰卡海军(jun)

mail-slaf-gov-lk-owa. *.com

mail.slaf.gov.lk

斯里兰(lan)卡(ka)空军


2.1.2 类型2:滥用Github网页服务

        攻击者滥用免费的Github Pages服务托管钓鱼网页的代码,通过不断注册新的Github账号创建此类项目,无成本地搭建大量的钓鱼网站。

图2-5 攻击者创建的Github账号


图2-6 攻击者生成的钓鱼链接


        攻击者一般在鱼叉邮件的正文嵌入此类型的钓鱼链接,发件的邮箱具有模仿性,正文也有一定诱导性,并且会在半年甚至数年内对同一账号反复投送,内容也会跟随目标相关的工作保持时效性。以针对斯里兰卡空军的钓鱼网站为例,如下的钓鱼链接打开后页面如图:

        http://user-*-mail.github.io/mail.slaf.gov.lk/index.html

图2-7 针对斯里兰卡空军的钓鱼网页


        受害者输入的账号密码会传向另一个域名的PHP文件,并保存在该PHP同目录下的.TXT日志中:

图2-8 钓鱼网页的关键代码


        然后PHP文件会将当前网页重定向至新的页面以迷惑受害者:

图2-9 跳转到的网页


        截至本文时,已观察到Github网页服务滥用型的钓鱼网站有近百个,对应的Github项目也有近百个,历史注册的Github账号达16个。

表2-3 Github服务滥用型的钓鱼网站案例

钓鱼链接

仿冒对象

http://*.github.io/mail.baf.mil.bd/index.html

孟加拉空军力量

http:// *.github.io/mail.rooppurnpp.gov.bd/index.html

孟加拉Rooppur核电站

http:// *.github.io/mail.ntc.net.pk.viewsrc/index.html

巴基斯坦国家电信公司

http:// *.github.io/mail.paf.gov.pk/index.html

巴(ba)基斯坦空军力(li)量

http:// *.github.io/webmail.defence.gov.mv/index.html

马尔代夫(fu)国(guo)防部

http:// *.github.io/view.mail.navy.lk/index.html

斯(si)里兰(lan)卡(ka)海军

http://user-*-mail.github.io/mail.slaf.gov.lk/index.html

斯里(li)兰卡空军(jun)

http://mail-*.github.io/mofa-gov-np/index.html

尼(ni)泊尔外(wai)交部



2.2 钓鱼邮件类型

2.2.1 类型1:正文中嵌入钓鱼链接

        攻击者伪装成目标政府工作人员向目标人群发送邮件正文嵌入钓鱼网站链接的邮件,邮件内容为以下载文件资料为由,诱骗目标登录邮件系统。

        如在针对尼泊尔的钓鱼活动中,攻击者以尼泊尔政府、军队人员的名义向目标人群投递含有钓鱼页面链接的邮件,邮件的正文内容为要求目标登录钓鱼网站下载与尼泊尔政府以及军队有关的资料文件:

图2-10 伪装成尼泊尔军队进行攻击的流程


        当受害者输入账户密码后,钓鱼网站便会将受害者的信息回传至钓鱼后台,并且自动下载与尼泊尔政府以及军队有关的PDF文件:

图2-11 仿冒尼泊尔军队下载网站


图2-12 陆军参谋长指导实施计划-2077.pdf


2.2.2 类型2:附件中嵌入钓鱼链接

        攻击者会伪装成政府人员向目标人群发送附件为PDF文档的攻击邮件,PDF中嵌有钓鱼网站的链接,邮件正文的内容多为要求目标访问钓鱼链接以下载工作相关的“机密”文件。

        如在针对巴基斯坦的攻击活动中,攻击者伪装成巴基斯坦电信管理局人员向目标投递“近期巴基斯坦PTA主席出席2021年世界移动大会新闻”的钓鱼邮件,邮件附件为嵌有钓鱼链接的PDF文档。

图2-13 伪装成巴基斯坦电信管理局的钓鱼攻击活动流程图


        当目标打开PDF嵌入的钓鱼链接后,首先会展示一个巴基斯坦PTA主席出席2021年世界移动大会相关内容的文件,再等待3秒后,钓鱼网站又自动跳转至仿冒的邮箱登录页面,等待目标输入提交邮箱的账号密码。

图2-14 PDF正文嵌入钓鱼链接


图2-15 钓鱼网站的跳转流程示意图



3. 关联分析


        2021年5月底,安天曾捕获另一批主要针对巴基斯坦的鱼叉邮件攻击,攻击者制作了一批可执行恶意Powershell命令的宏文档,利用盗用的或自行注册的迷惑性邮箱账号将其作为附件发送至境外重要单位,后续供Powershell命令获取的阶段性载荷大多挂载于攻击者提前攻陷的傀儡网站上。

        典型的鱼叉邮件有如:

图3-1 针对巴基斯坦的鱼叉邮件


        邮件的附件为恶意宏文档,文档正文诱导目标启用宏代码,以下载后续的NetWire远控木马并执行:

图3-2 恶意宏文档的诱导性正文


        通过分析傀儡网站中攻击者使用的目录和文件,发现还挂载有移动端木马和钓鱼网页等。

        移动端木马的文件名为CSD-Loyalty.apk,属于公开的安卓远控家族SpyNoteRAT:

图3-3 安卓木马索要权限以及签名信息


        各目录梳理出的钓鱼网页如下:

表3-1 傀儡网站中的钓鱼网页


        其中仿冒成中国某单位办公室的钓鱼页面的目录创建于今年5月20日,其通过dakada.php文件将受害者输入的凭证写入本地的.txt文件,并利用“header ('Location:*)”实现301跳转,跳转对象为一个PDF文档:

图3-4 傀儡站钓鱼网页的跳转链接


        在今年6月初,挂载上述PDF文档的域名“vai*.000webhostapp.com”也被上文中的钓鱼网站mail-*-cn.netlify.app所使用,使用方式为接收受害者输入的凭证并写入某个存放位置,因此我们怀疑这两批手法相异的钓鱼事件存在有一定的关联性:

图3-5 某netlify.app钓鱼网页的回传链接



4. 总结和建议


        从以上分析可看出,这是一起持续时间超过两年以上的钓鱼攻击活动,攻击者主要运用社会工程学(如鱼叉式钓鱼邮件、伪装成政府军队人员的钓鱼PDF文档)手段,针对中国和巴基斯坦、孟加拉国、阿富汗以及尼泊尔等国家的政府、军队以及国企单位开展大规模钓鱼攻击行动。其使用的钓鱼攻击手法狡猾多变,制作的钓鱼邮件、钓鱼PDF文档也十分逼真。同时其使用的钓鱼网站形式也多种多样,钓鱼页面基本都是以herokuapp.com、000webhostapp.com、netlify.app以及netlify.com为主的第三方PaaS (平台即服务)平台来挂载,钓鱼网页与仿冒对象视觉上基本一致,让人难以区分。

        一旦钓鱼攻击奏效,失陷的信箱地址就会成为新一波社会工程攻击的起点,被植入木马的端点就成为了进一步攻击的桥头堡,对国家安全、社会安全、政企机构安全和公民个人安全都会造成巨大危害。

        网络用户是网络钓鱼攻击的直接目标,用户的安全意识也是第一道防线,用户对于收到的邮件一定要对发件地址、内部连接等内容仔细检查,任何时候都不要轻易打开其中的文件和连接,认为必须要打开的建议和发件人联系确认。

        仅靠用户意识自我防御,是远远不够的。需要部署可靠安全产品,才能有效形成阵地布防。安天智甲终端防御系统可以基于分布式防火墙和HIPDS实时阻断针对钓鱼网址连接访问和进行事件告警,安天探海可以在流量侧感知钓鱼邮件活动,即时告警,联动阻断。安天追影威胁分析系统可以联动探海或邮件系统,分析发现危险连接。

        订阅安天威胁情报,可以持续获得相关恶意域名推送,让网络管理人员配置边界阻断规则。



附录:安天全线产品助力客户有效应对钓鱼攻击

产品品牌

产(chan)品定位

部(bu)署方(fang)式(shi)

对防范钓鱼攻击的价值(zhi)

智甲

终端防(fang)御(yu)系(xi)统

UES

(统一端点(dian)防御,覆盖

EPP\EDR\CWPP

安装(或原厂预制)在系统主机上。

智甲基(ji)于(yu)边界防护、浏览器防护以及邮(you)(you)件客户端防护等机制,实时检测、防护钓鱼邮(you)(you)件攻(gong)击行(xing)为(wei),依托(tuo)安天(tian)AVL SDK反病毒(du)引擎进行精准(zhun)的(de)扫描、检测(ce)(ce)、告警,可及时检测(ce)(ce)出(chu)邮件(jian)中的(de)钓鱼文件(jian)、网(wang)站的(de)非法(fa)URL和下载(zai)的可疑应用,对(dui)文件、应用进行自动(dong)扫(sao)描,对(dui)钓鱼URL进(jin)行自动识别,判断是否为钓(diao)鱼类攻击(ji),并对用户进(jin)行告(gao)警。

智甲通过主(zhu)机配置加固(gu)、补丁管理、分布式防火墙与(yu)黑白双(shuang)控(kong)等(deng)机制形成(cheng)对系统(tong)侧防御环境(jing)的主(zhu)动“塑造”,建立防御主(zhu)动性,收缩可攻(gong)击(ji)面,限制攻(gong)击(ji)路径和(he)执(zhi)行成(cheng)功率。

智甲统(tong)一端点防(fang)御针对易(yi)受钓(diao)鱼攻(gong)击的(de)移(yi)动办公终端,通过wifi安全识别与管控手段,识别出私(si)自搭建(jian)的WIFI基(ji)站(zhan)并向管理(li)平(ping)台进行告警,保障用(yong)户有效(xiao)地防范钓鱼攻击。

同(tong)时(shi)(shi),智甲在系(xi)统侧捕获的邮(you)件(jian)(jian)附(fu)件(jian)(jian)可以与追影(ying)威胁分(fen)析系(xi)统实时(shi)(shi)联动,对邮(you)件(jian)(jian)附(fu)件(jian)(jian)进(jin)行(xing)深度分(fen)析,揭(jie)示潜在的漏(lou)洞利(li)用(yong)、恶意攻(gong)击(ji)行(xing)为(wei),生产(chan)威胁情报同(tong)步(bu)至端侧、流量及(ji)边(bian)界侧形成协同(tong)防(fang)御(yu)效果(guo)。

探海

威胁(xie)检测系(xi)统

NDR

(网络检测响应)

在(zai)政企网出口、关键网段(duan)等(deng)位置旁路(lu)部(bu)署(shu),可以作为云资源池(chi)部(bu)署(shu)。

探(tan)海基于细粒度协议解析、多维度检(jian)(jian)测(ce)与全(quan)要素记录等(deng)机制,实现对(dui)网络钓鱼活(huo)动进行(xing)精准检(jian)(jian)测(ce)与告(gao)警。探(tan)海能够对(dui)邮件通讯实现网络元数据(如(ru)IP、域名、端口等),应用层传输要素(如HTTP URIUSER-AGENT、邮件收发件人、主题等),载荷对象要素(如邮件(jian)(jian)附件(jian)(jian)名、HASH、文件格式等)、载荷行为要素(如下载器、加密、发送版本信息等)、威胁判定要素(如威胁检出对象、威胁名称、攻击组织等)、内置大量知识化标签(如DDoS、跨境通讯、带链接邮件)及自定义标签等要素信息,并进行全要素的留存,更有(you)效地支撑威胁研判、追(zhui)踪(zong)溯(su)源、线索挖(wa)掘与情(qing)报生(sheng)产,更易于分析和关联,有(you)效提高用(yong)户现场高级威胁的(de)发现和识别能力(li)。

探海基于自定义场景化规则,帮助(zhu)用户构建攻击(ji)者难(nan)以预(yu)知的检测策(ce)略,例如针对网络钓鱼类攻击(ji),结合客户场景特(te)点,通(tong)过设定“跨境通(tong)讯”标(biao)签(qian)、“邮件(jian)通(tong)讯”标(biao)签(qian)、“文件(jian)格(ge)式为文档”、“载(zai)荷(he)具有(you)启动powershell的行为能力这些要素的组合,可以构成基于邮件投放的无实体文件攻击的场景检测规则

捕风

蜜罐系统

威胁欺骗(pian)捕获

支持企(qi)业内网(wang)、隔离(li)网(wang)、私有云、公有云等部署场景。

捕风蜜罐系统(tong)支持通过构建诱饵信(xin)箱、模拟邮(you)件服务等(deng)手段塑造欺骗(pian)式防御环境,诱捕相关攻(gong)(gong)击(ji)(ji)(ji)行为,实(shi)现攻(gong)(gong)击(ji)(ji)(ji)预警、情报生产(chan)与(yu)联动(dong)响应;同时可以与(yu)导(dao)流设(she)备结合,针对定向钓鱼攻(gong)(gong)击(ji)(ji)(ji)行为,进一(yi)步分(fen)析和揭示攻(gong)(gong)击(ji)(ji)(ji)者攻(gong)(gong)击(ji)(ji)(ji)链(lian)与(yu)技战术(shu),为后续威(wei)胁分(fen)析、取证、溯源、猎杀等(deng)工(gong)作提供(gong)必要的(de)基础(chu)。

追影

威胁分析系统

FA

(文(wen)件分(fen)析)

旁(pang)路部署,联(lian)动(dong)设备与查询(xun)结果终端(duan)路由可(ke)达即可(ke)。

追影可(ke)以与智(zhi)甲、探海等(deng)安(an)(an)天(tian)全(quan)(quan)线产品(pin)以及邮件应(ying)用系统(tong)联动(dong)使(shi)用,或安(an)(an)全(quan)(quan)工程(cheng)师手工交(jiao)互(hu),基于深度静态(tai)分析和高仿(fang)真(zhen)沙(sha)箱环境执(zhi)行双(shuang)重机制(zhi)分析文件对(dui)象,针(zhen)对(dui)钓鱼攻击(ji)文件中的载荷,可(ke)以有效分析标(biao)定非(fei)法网络连(lian)接、后门程(cheng)序、转发程(cheng)序、木马(ma)植(zhi)入、远程(cheng)控制(zhi)等(deng)行为,协助用户生产威胁情报,联动(dong)威胁响(xiang)应(ying)和处置。

拓(tuo)痕

应急处置(zhi)工具箱

应急(ji)处置

基于U盘、光盘、便携设(she)备(bei)与场景连接使用(yong)。

拓痕基于对系(xi)统层面进(jin)行(xing)深(shen)度(du)威胁(xie)检测分(fen)析,包括进(jin)程、服务、扇区(qu)等对象(xiang)的全要素提取解析,调用(yong)安天AVL SDK反(fan)病毒引擎进行(xing)更(geng)为(wei)精(jing)准的(de)检测,检出和留(liu)存(cun)攻击载荷,提取可疑(yi)对(dui)象。从而有效发现钓鱼攻击在端点侧(ce)的(de)活动(dong),并通过底(di)层(ceng)处(chu)置(zhi)能力,清除钓鱼文件、软件等威胁,完成威胁发现、分析、取证、处(chu)置(zhi)业务闭环(huan)。