【安全资讯】深入了解UNC1151组织的网络基础设施

引言

UNC1151组织是疑似俄罗斯国家支持的网络间谍组织，专门进行凭证收集和恶意软件活动。UNC1151组织疑似是“Ghostwriter”活动的攻击者，该活动针对立陶宛、拉脱维亚和波兰的公众，发表北大西洋公约组织(NATO)在东欧存在的负面言论。研究人员发现了83个先前未报告的域，并以高度置信度将其中的52个域评估为UNC1151基础设施的一部分，以中等置信度将其中的31个域评估为UNC1151组织以前使用的网络钓鱼基础设施。

简况

2020 年 7 月，FireEye披露了“Ghostwriter”活动，该活动主要针对立陶宛、拉脱维亚和波兰的公众，发表北大西洋公约组织(NATO)在东欧存在的负面言论。2021 年 4 月下旬，研究人员将Ghostwriter活动归因于UNC1151组织。Ghostwriter活动的范围和目标很广泛，目标受众是波罗的海国家（爱沙尼亚、拉脱维亚和立陶宛）以及德国、波兰和乌克兰。其网络钓鱼基础设施的分析表明，该组织的目标是官方政府账户以及个人账户。

UNC1151使用具有看似合法的词的根域（如`net-account[.]online` 或 `login-telekom[.]online`），然后使用特定的子域构建它们，以创建长 URL，使它们的网络钓鱼域看起来合法（如，`gmx.net-account.online` 或 `verify.login-telekom[.]online`）UNC1151制作的看似合法的域使他们能够在高度针对性的鱼叉式网络钓鱼活动中捕获凭据，用于后续操作。

研究人员以高置信度评估为UNC1151基础设施的域包括旨在获得法国国防部 DICoD 成员的登录凭据网络钓鱼域，还有一部分域似乎旨在捕获波兰和乌克兰受众的官方和个人帐户的登录凭据。与这些域集群相关的活动仍在进行中。研究人员以中置信度评估为UNC1151以前使用的网络钓鱼基础设施的域集群中，大部分域名注册发生在 2019 年，并于 2020 年到期。命名主题表明攻击目标是欧洲的Apple用户。其他子域似乎也针对 Paypal 和 OVH 电信登录。

总结

UNC1151使用精心制作的看似合法的域，从而在高度针对性的鱼叉式网络钓鱼活动中捕获凭据，用于后续的恶意软件攻击活动。研究人员将持续跟踪UNC1151组织和Ghostwriter活动，发布后续更新。