針對多國政府網路的釣魚活動，中國交通運輸部和順豐在列

​國際威脅情報公司三巨頭之一Anomali(異常威脅研究小組)發現了一項新的網路釣魚活動，旨在從美、歐洲和亞洲的政府部門竊取登入憑據，目前尚不清楚幕後黑手是誰，但看來確實是持續的攻擊。欺騙性網路釣魚站點域託管在土耳其和羅馬尼亞，該活動目前處於休眠狀態。

總體而言，美國、加拿大、中國、澳大利亞、瑞典等國家中的22個組織已經明確遭受此次網路釣魚攻擊。攻擊方式都差不多，涉及與目標政府機構有關的電子郵件，欺騙受害者點選電子郵件連結，然後輸入其使用者名稱和密碼。

異常威脅研究小組確定了一項憑證收集活動，旨在從多個政府採購服務中竊取登入詳細資訊。許多公共和私營部門組織都使用採購服務來匹配買家和供應商。在此運動中，攻擊者欺騙了多個國際政府部門，電子郵件服務和兩個快遞服務的站點。發現通過網路釣魚電子郵件傳送的誘餌文件包含指向欺騙性網路釣魚站點的連結，這些連結偽裝成與欺騙性政府機構有關的合法登入頁面。然後，誘使被誘騙者追蹤網路釣魚電子郵件連結的受害者登入。成為對手受害者的任何人都將向他們提供憑據。

受影響的組織包括：

• 美國-美國能源部
• 美國-美國商務部
• 美國-美國退伍軍人事務部
• 美國-新澤西州房屋及抵押金融局
• 美國-馬里蘭州政府採購服務
• 美國-佛羅里達管理服務部
• 美國-交通部
• 美國-住房和城市發展部 
• DHL國際快遞服務
• 加拿大-政府電子採購服務
• 墨西哥-政府電子採購服務
• 祕魯-公共採購中心
• 中國-順豐快遞服務
• 中國-交通運輸部
• 日本-經濟產業省
• 新加坡-工業和貿易部
• 馬來西亞-國際貿易和工業部
• 澳大利亞-政府電子採購門戶
• 瑞典-政府機關國家公共採購局
• 波蘭-貿易和投資署
• 南非-政府採購處

目標國家

圖1中的熱圖顯示，美國主要是針對性的，有50多個釣魚網站旨在竊取欺騙美國組織的憑據。加拿大，日本和波蘭分別緊隨其後的分別是7、6和6個釣魚網站。此運動的目標國家是：

• 美國
• 中國
• 新加坡
• 瑞典
• 南非
• 墨西哥
• 日本
• 馬來西亞
• 波蘭
• 祕魯
• 加拿大
• 澳大利亞

圖1.以政府採購站點為目標的網路釣魚站點的國家熱圖

目標行業

此活動針對以下行業：圖2顯示，政府入口網站中專門用於竊取憑據的釣魚網站數量最多。

政府

電郵服務

送貨，郵費和運輸

圖2.餅圖顯示了按行業劃分的欺騙組織的數量

誘餌檔案

此運動的目標受害者很可能在網路釣魚電子郵件中傳送了誘餌檔案。誘餌檔案旨在迎合其目標政府所在國家/地區的語言。南非誘餌檔案是用英語寫的，但南非是多種語言（包括英語）的所在地。圖3顯示了發現的誘餌檔案的一些示例。

圖3.該活動中觀察到的誘餌檔案

上面的誘餌文件包含一個嵌入式連結：

圖4. pdf文件中的嵌入式連結誘騙了美國商務部

上面的PDF檔名ITB_USDOC.pdf中的連結（圖4）具有一個嵌入式連結，該連結將受害者定向到託管在惡意域“ 40-71 [。] xyz”上的網路釣魚頁面。該文件已提交給美國和法國的VirusTotal（作為電子郵件的一部分，但該電子郵件不可用）

憑證收集站點

所有站點都使用“ cPanel，Inc”頒發的域驗證（DV）證書。子域具有類似的命名約定，以線上憑據為目標，幷包含安全，驗證，出價或交付主題。圖5顯示了攻擊者建立的憑證收集頁面的示例。

圖5.在該活動中觀察到的憑證收集站點

網頁上有清晰的標誌和標籤，詳細說明了攻擊者試圖模仿的組織。攻擊者使用了合法域以及自己的基礎結構。美國能源部的網頁託管在“ https：//energy.gov.secure.server-bidsync [。] best / auth / login.html”上，並從以下網址重定向：“ http://energy.gov .secure.bidsync.newnepaltreks [。] com”。重定向URL基於合法域名“ newnepaltreks [。] com”，該域名很可能已被洩密，以助於進行此攻擊。 

威脅基礎架構

在調查過程中，發現了62個域和大約122個網路釣魚站點。域上託管的所有網路釣魚站點都具有相似的命名約定：

目標域或服務寫為子域，後跟惡意域或受感染的伺服器。

身份驗證，出價同步，採購或交付主題

網路釣魚站點主要託管在以下四個IP地址上的租用基礎結構上：

31.210.96 [。] 221

193.29.187 [。] 173

91.235.116 [。] 146

188.241.58 [。] 170

對最初確定的域“ server-bidsync [。] best”的調查確定了從客戶端瀏覽器到惡意域的通訊中的資源雜湊。調查了對hxxps：//energy.gov.secure.server-bidsync [。] best / auth / alter.css的GET請求，樣式形式“ alter.css”，並且CSS指令碼cd9dcb1922df26eb999a4405b282809051a18f8aa6e68edb71d619c92ebcf82d的資源雜湊值導致14託管類似網路釣魚站點的新域。在許多情況下，子域的編寫方式完全相同，從而欺騙了剛剛託管在不同域中的同一組織。使用命名約定模式和新域作為進一步的樞紐點，導致發現了針對進一步政府採購服務的網路釣魚站點。

圖6.欺騙組織的基礎結構概述

IP地址為31.210.96 [。] 221託管此活動的網路釣魚網站的域於2019年10月28日首次註冊，域名以server-bidsync [。] best開始。該IP地址已在土耳其註冊，並且過去曾參與惡意活動。其中最突出的是“ leastinfo [。] com”域，該域在一次針對亞洲金融機構以及烏爾都語和阿拉伯語使用者使用的軟體的零日漏洞攻擊活動中出現[1]。其他三個IP地址都在羅馬尼亞註冊。組織還被假冒在合法域“ newnepaltreks [。] com”，“ lazapateriadematilda [。] cl”和“ onsearch”中的網路釣魚網站所欺騙，這些網站可能已經受到破壞。

結論

這項憑證收集活動主要針對政府招標和採購服務。對這些服務的關注表明，威脅行為者對目標政府的潛在承包商和/或供應商感興趣。該洞察力的目的可能是為了使競爭對手勝出而採取的經濟激勵措施，或者是有關潛在供應商與相關政府之間的信任關係的更長期洞察力。諸如此類的活動很難防範，因為除非託管網路釣魚頁面的域被認為是惡意的，否則組織防火牆將不會阻止它。合法站點還託管了釣魚頁面，並且可能在競選活動中遭到破壞。在撰寫本文時，該廣告系列中沒有一個網站處於活動狀態，有關網路釣魚活動欺騙多個政府採購服務的更多資訊以及IOC的列表，請下載完整報告：https://www.anomali.com/resources/whitepapers/phishing-campaign-targets-login-credentials-of-multiple-us-international-government-procurement-services

關注微信公眾號：紅數位 閱讀更多

混跡安全圈，每日必看！