针对我国和南亚次大陆等国家的钓鱼攻击活动分析

时间 :  2021年11月01日  来源:  安天CERT


        今年3月份以来,安天CERT陆续捕获了多批次印度方向APT组织对我国的网络攻击活动。攻击者利用各种手段搭建钓鱼网站,针对我国的政府、军工、高校、航天等领域进行钓鱼攻击,并对部分南亚国家等投递多平台的远控木马进行窃密活动。安天根据已掌握的数据进行汇总、梳理、分析并形成本篇报告揭露其相关攻击活动。


1. 概述


        2021年3月份以来,安天捕获了多起针对我国和部分南亚次大陆国家等的钓鱼攻击活动,该活动涉及网络节点数目众多,主要攻击目标为中国、尼泊尔、巴基斯坦、斯里兰卡、孟加拉国、阿富汗以及马尔代夫等国家的政府、国防军事以及国企单位。攻击者会将自身伪装成目标国家的政府或军队人员,向对方邮箱投递挂有钓鱼附件或嵌有钓鱼链接的攻击邮件,并诱导目标通过链接访问攻击者通过各种方式搭建的钓鱼网站,收集受害者输入的账号密码以供情报收集或横向攻击所用。

        通过对这系列攻击活动进行关联分析,安天发现活动的最早时间可追溯至2019年4月份,同时发现其与上半年另一批次对南亚地区的木马投递活动具有密切的关系。总结本次攻击活动的重要特征如下表。

表1-1 攻击活动特征

事件要点

高度拟真的社会工程学攻击

事件概述

针对我国和南亚次大陆等国家钓鱼攻击活动

攻击意图

情报收集

组织来源

印度

攻击手法

鱼叉式钓鱼邮件、钓鱼网站、Web渗透

攻击时间

最早可追溯到20194月,至今保持活跃

攻击目标

中国、尼泊尔、巴基斯坦、孟加拉国、马尔代夫、阿富汗、斯里兰卡等国家的国企、政府以及军队单位




2. 钓鱼活动分析


        通过对此系列攻击中观察到的数百个钓鱼网页进行分析梳理,可按照钓鱼链接的嵌入方式对攻击邮件分成两类,并按照搭建的方式对钓鱼网站分成两类。

2.1 钓鱼网站类型

2.1.1 类型1:滥用PaaS托管服务

        攻击者会利用多个第三方PaaS服务平台搭建钓鱼网站,实际观测中以netlify.app、herokuapp.com和netlify.com为主。对这些钓鱼网站进行统计,可大致分为以下两种类型:

        1.自动跳转型:即受害者通过钓鱼链接访问钓鱼网页时,钓鱼网页首先会展示“受限制”、“ 更新电子邮件系统”等名义的静态网页,在等待攻击者设置的时间后,该钓鱼网页会弹出“您的邮箱登录超时,已退出,请重新登录.”、“您账户所在的域已经过期”等弹窗,当受害者确认弹窗后,便会跳转至攻击者仿冒的邮箱登录页面。

图2-1 仿冒中国某公司邮件系统的跳转流程


图2-2 钓鱼网页跳转操作代码


        2. 直接展示型:即受害者打开邮件中的钓鱼链接访问钓鱼网站后,攻击者仿冒的邮件登录页面会直接展示给受害者,当受害者输入账号密码进行登录后,钓鱼网站便会将账号密码信息回传至钓鱼后台,随后钓鱼后台便会将网页跳转至仿冒对象的官方网站,或者展示并下载与仿冒对象相关的白文档文件。

图2-3 仿冒中国某大学邮件系统


图2-4 向远程服务器传输凭证数据


        截至发稿时,观察到PaaS服务滥用型的钓鱼网站已过百个,其中部分是针对我国的各大高校、国企以及政府等重要单位,另有大部分是针对南亚地区如巴基斯坦、尼泊尔和孟加拉国等国的军政国防外交等领域。

表2-1 针对中国的部分钓鱼域名案例


表2-2 针对其他南亚国家等的钓鱼域名案例

钓鱼域名

仿冒的目标域名

仿冒对象

mail-paf-gov-pk. *.app

mail.paf.gov.pk

巴基斯坦空军

mail-paknavy-gov-pk-pdf-*. *.app

mail.paknavy.gov.pk

巴基斯坦海军

mail-mofa-gov-pk. *.app

mail.mofa.gov.pk

巴基斯坦外交部

mail-mofa-gov-np. *.app

mail.mofa.gov.np

尼泊尔外交部

mail-nepalarmy-mil-np-owamsg. *.app

mail.nepalarmy.mil.np

尼泊尔军队

mail-mod-gov-np-*-terrorist-*. *.app

mail.mod.gov.np

尼泊尔国防部

mail-navy-mil-bd-loginhjdh. *.com

mail.navy. mil.bd

孟加拉国海军

mailafd-govbd-signin-true. *.com

mail.afd.gov.bd

孟加拉国武装部队

mail-dscsc-mil-bd. *.app

mail.dscsc.mil.bd

孟加拉国国防指挥与参谋学院

mail-mod-gov-af-owa. *.com

mail.mod.gov.af

阿富汗国民军

login-mfamail-foreign-gov-mv. *.com

mail.foreign.gov.mv

马尔代夫外交部

mail-navy-lk-western-general. *.com

mail.navy.lk

斯里兰卡海军

mail-slaf-gov-lk-owa. *.com

mail.slaf.gov.lk

斯里兰卡空军


2.1.2 类型2:滥用Github网页服务

        攻击者滥用免费的Github Pages服务托管钓鱼网页的代码,通过不断注册新的Github账号创建此类项目,无成本地搭建大量的钓鱼网站。

图2-5 攻击者创建的Github账号


图2-6 攻击者生成的钓鱼链接


        攻击者一般在鱼叉邮件的正文嵌入此类型的钓鱼链接,发件的邮箱具有模仿性,正文也有一定诱导性,并且会在半年甚至数年内对同一账号反复投送,内容也会跟随目标相关的工作保持时效性。以针对斯里兰卡空军的钓鱼网站为例,如下的钓鱼链接打开后页面如图:

        https://user-*-mail.github.io/mail.slaf.gov.lk/index.html

图2-7 针对斯里兰卡空军的钓鱼网页


        受害者输入的账号密码会传向另一个域名的PHP文件,并保存在该PHP同目录下的.TXT日志中:

图2-8 钓鱼网页的关键代码


        然后PHP文件会将当前网页重定向至新的页面以迷惑受害者:

图2-9 跳转到的网页


        截至本文时,已观察到Github网页服务滥用型的钓鱼网站有近百个,对应的Github项目也有近百个,历史注册的Github账号达16个。

表2-3 Github服务滥用型的钓鱼网站案例

钓鱼链接

仿冒对象

https://*.github.io/mail.baf.mil.bd/index.html

孟加拉空军力量

https:// *.github.io/mail.rooppurnpp.gov.bd/index.html

孟加拉Rooppur核电站

https:// *.github.io/mail.ntc.net.pk.viewsrc/index.html

巴基斯坦国家电信公司

https:// *.github.io/mail.paf.gov.pk/index.html

巴基斯坦空军力量

https:// *.github.io/webmail.defence.gov.mv/index.html

马尔代夫国防部

https:// *.github.io/view.mail.navy.lk/index.html

斯里兰卡海军

https://user-*-mail.github.io/mail.slaf.gov.lk/index.html

斯里兰卡空军

https://mail-*.github.io/mofa-gov-np/index.html

尼泊尔外交部



2.2 钓鱼邮件类型

2.2.1 类型1:正文中嵌入钓鱼链接

        攻击者伪装成目标政府工作人员向目标人群发送邮件正文嵌入钓鱼网站链接的邮件,邮件内容为以下载文件资料为由,诱骗目标登录邮件系统。

        如在针对尼泊尔的钓鱼活动中,攻击者以尼泊尔政府、军队人员的名义向目标人群投递含有钓鱼页面链接的邮件,邮件的正文内容为要求目标登录钓鱼网站下载与尼泊尔政府以及军队有关的资料文件:

图2-10 伪装成尼泊尔军队进行攻击的流程


        当受害者输入账户密码后,钓鱼网站便会将受害者的信息回传至钓鱼后台,并且自动下载与尼泊尔政府以及军队有关的PDF文件:

图2-11 仿冒尼泊尔军队下载网站


图2-12 陆军参谋长指导实施计划-2077.pdf


2.2.2 类型2:附件中嵌入钓鱼链接

        攻击者会伪装成政府人员向目标人群发送附件为PDF文档的攻击邮件,PDF中嵌有钓鱼网站的链接,邮件正文的内容多为要求目标访问钓鱼链接以下载工作相关的“机密”文件。

        如在针对巴基斯坦的攻击活动中,攻击者伪装成巴基斯坦电信管理局人员向目标投递“近期巴基斯坦PTA主席出席2021年世界移动大会新闻”的钓鱼邮件,邮件附件为嵌有钓鱼链接的PDF文档。

图2-13 伪装成巴基斯坦电信管理局的钓鱼攻击活动流程图


        当目标打开PDF嵌入的钓鱼链接后,首先会展示一个巴基斯坦PTA主席出席2021年世界移动大会相关内容的文件,再等待3秒后,钓鱼网站又自动跳转至仿冒的邮箱登录页面,等待目标输入提交邮箱的账号密码。

图2-14 PDF正文嵌入钓鱼链接


图2-15 钓鱼网站的跳转流程示意图



3. 关联分析


        2021年5月底,安天曾捕获另一批主要针对巴基斯坦的鱼叉邮件攻击,攻击者制作了一批可执行恶意Powershell命令的宏文档,利用盗用的或自行注册的迷惑性邮箱账号将其作为附件发送至境外重要单位,后续供Powershell命令获取的阶段性载荷大多挂载于攻击者提前攻陷的傀儡网站上。

        典型的鱼叉邮件有如:

图3-1 针对巴基斯坦的鱼叉邮件


        邮件的附件为恶意宏文档,文档正文诱导目标启用宏代码,以下载后续的NetWire远控木马并执行:

图3-2 恶意宏文档的诱导性正文


        通过分析傀儡网站中攻击者使用的目录和文件,发现还挂载有移动端木马和钓鱼网页等。

        移动端木马的文件名为CSD-Loyalty.apk,属于公开的安卓远控家族SpyNoteRAT:

图3-3 安卓木马索要权限以及签名信息


        各目录梳理出的钓鱼网页如下:

表3-1 傀儡网站中的钓鱼网页


        其中仿冒成中国某单位办公室的钓鱼页面的目录创建于今年5月20日,其通过dakada.php文件将受害者输入的凭证写入本地的.txt文件,并利用“header ('Location:*)”实现301跳转,跳转对象为一个PDF文档:

图3-4 傀儡站钓鱼网页的跳转链接


        在今年6月初,挂载上述PDF文档的域名“vai*.000webhostapp.com”也被上文中的钓鱼网站mail-*-cn.netlify.app所使用,使用方式为接收受害者输入的凭证并写入某个存放位置,因此我们怀疑这两批手法相异的钓鱼事件存在有一定的关联性:

图3-5 某netlify.app钓鱼网页的回传链接



4. 总结和建议


        从以上分析可看出,这是一起持续时间超过两年以上的钓鱼攻击活动,攻击者主要运用社会工程学(如鱼叉式钓鱼邮件、伪装成政府军队人员的钓鱼PDF文档)手段,针对中国和巴基斯坦、孟加拉国、阿富汗以及尼泊尔等国家的政府、军队以及国企单位开展大规模钓鱼攻击行动。其使用的钓鱼攻击手法狡猾多变,制作的钓鱼邮件、钓鱼PDF文档也十分逼真。同时其使用的钓鱼网站形式也多种多样,钓鱼页面基本都是以herokuapp.com、000webhostapp.com、netlify.app以及netlify.com为主的第三方PaaS (平台即服务)平台来挂载,钓鱼网页与仿冒对象视觉上基本一致,让人难以区分。

        一旦钓鱼攻击奏效,失陷的信箱地址就会成为新一波社会工程攻击的起点,被植入木马的端点就成为了进一步攻击的桥头堡,对国家安全、社会安全、政企机构安全和公民个人安全都会造成巨大危害。

        网络用户是网络钓鱼攻击的直接目标,用户的安全意识也是第一道防线,用户对于收到的邮件一定要对发件地址、内部连接等内容仔细检查,任何时候都不要轻易打开其中的文件和连接,认为必须要打开的建议和发件人联系确认。

        仅靠用户意识自我防御,是远远不够的。需要部署可靠安全产品,才能有效形成阵地布防。安天智甲终端防御系统可以基于分布式防火墙和HIPDS实时阻断针对钓鱼网址连接访问和进行事件告警,安天探海可以在流量侧感知钓鱼邮件活动,即时告警,联动阻断。安天追影威胁分析系统可以联动探海或邮件系统,分析发现危险连接。

        订阅安天威胁情报,可以持续获得相关恶意域名推送,让网络管理人员配置边界阻断规则。



附录:安天全线产品助力客户有效应对钓鱼攻击

产品品牌

产品定位

部署方式

对防范钓鱼攻击的价值

智甲

终端防御系统

UES

(统一端点防御,覆盖

EPP\EDR\CWPP

安装(或原厂预制)在系统主机上。

智甲基于边界防护、浏览器防护以及邮件客户端防护等机制,实时检测、防护钓鱼邮件攻击行为,依托安天AVL SDK反病毒引擎进行精准的扫描、检测、告警,可及时检测出邮件中的钓鱼文件、网站的非法URL和下载的可疑应用,对文件、应用进行自动扫描,对钓鱼URL进行自动识别,判断是否为钓鱼类攻击,并对用户进行告警。

智甲通过主机配置加固、补丁管理、分布式防火墙与黑白双控等机制形成对系统侧防御环境的主动“塑造”,建立防御主动性,收缩可攻击面,限制攻击路径和执行成功率。

智甲统一端点防御针对易受钓鱼攻击的移动办公终端,通过wifi安全识别与管控手段,识别出私自搭建的WIFI基站并向管理平台进行告警,保障用户有效地防范钓鱼攻击。

同时,智甲在系统侧捕获的邮件附件可以与追影威胁分析系统实时联动,对邮件附件进行深度分析,揭示潜在的漏洞利用、恶意攻击行为,生产威胁情报同步至端侧、流量及边界侧形成协同防御效果。

探海

威胁检测系统

NDR

(网络检测响应)

在政企网出口、关键网段等位置旁路部署,可以作为云资源池部署。

探海基于细粒度协议解析、多维度检测与全要素记录等机制,实现对网络钓鱼活动进行精准检测与告警。探海能够对邮件通讯实现网络元数据(如IP、域名、端口等),应用层传输要素(如HTTP URIUSER-AGENT、邮件收发件人、主题等),载荷对象要素(如邮件附件名、HASH、文件格式等)、载荷行为要素(如下载器、加密、发送版本信息等)、威胁判定要素(如威胁检出对象、威胁名称、攻击组织等)、内置大量知识化标签(如DDoS、跨境通讯、带链接邮件)及自定义标签等要素信息,并进行全要素的留存,更有效地支撑威胁研判、追踪溯源、线索挖掘与情报生产,更易于分析和关联,有效提高用户现场高级威胁的发现和识别能力。

探海基于自定义场景化规则,帮助用户构建攻击者难以预知的检测策略,例如针对网络钓鱼类攻击,结合客户场景特点,通过设定“跨境通讯”标签、“邮件通讯”标签、“文件格式为文档”、“载荷具有启动powershell的行为能力这些要素的组合,可以构成基于邮件投放的无实体文件攻击的场景检测规则

捕风

蜜罐系统

威胁欺骗捕获

支持企业内网、隔离网、私有云、公有云等部署场景。

捕风蜜罐系统支持通过构建诱饵信箱、模拟邮件服务等手段塑造欺骗式防御环境,诱捕相关攻击行为,实现攻击预警、情报生产与联动响应;同时可以与导流设备结合,针对定向钓鱼攻击行为,进一步分析和揭示攻击者攻击链与技战术,为后续威胁分析、取证、溯源、猎杀等工作提供必要的基础。

追影

威胁分析系统

FA

(文件分析)

旁路部署,联动设备与查询结果终端路由可达即可。

追影可以与智甲、探海等安天全线产品以及邮件应用系统联动使用,或安全工程师手工交互,基于深度静态分析和高仿真沙箱环境执行双重机制分析文件对象,针对钓鱼攻击文件中的载荷,可以有效分析标定非法网络连接、后门程序、转发程序、木马植入、远程控制等行为,协助用户生产威胁情报,联动威胁响应和处置。

拓痕

应急处置工具箱

应急处置

基于U盘、光盘、便携设备与场景连接使用。

拓痕基于对系统层面进行深度威胁检测分析,包括进程、服务、扇区等对象的全要素提取解析,调用安天AVL SDK反病毒引擎进行更为精准的检测,检出和留存攻击载荷,提取可疑对象。从而有效发现钓鱼攻击在端点侧的活动,并通过底层处置能力,清除钓鱼文件、软件等威胁,完成威胁发现、分析、取证、处置业务闭环。