【安全资讯】针对亚太、欧洲、中东和非洲地区政府部门的大型网络钓鱼活动

猎影实验室 2021-09-23 06:53:32 846人浏览

引言

自 2020 年春季以来,亚太、欧洲、中东和非洲等地区的多个政府部门已成为大型网络钓鱼活动的目标。研究人员分析了 50 多个主机名,发现许多主机冒充乌兹别克斯坦、白俄罗斯和土耳其等多个国家的外交部、财政部或能源部,以及乌克兰和巴基斯坦海军的主要情报局。研究人员认为,这项大型网络钓鱼活动可能由国家资助的APT组织发起。

 

简况

该活动可能始于 2020 年春季,目前仍有 15 个网络钓鱼页面处于活动状态,冒充吉尔吉斯斯坦、白俄罗斯、格鲁吉亚、土库曼斯坦、乌克兰、乌兹别克斯坦、巴基斯坦海军的政府,还有一些网页冒充 Mail.ru 电子邮件服务。冒充政府部门邮件服务器登录门户的凭据收集页面如下:

活动中的域通常以“邮件”开头。并且经常包含目标政府部门的完整域作为攻击者域的主机名。攻击者似乎正在针对这些政府部门的电子邮件门户。该活动的主要目标似乎是白俄罗斯、乌克兰和乌兹别克斯坦,这些国家的网络钓鱼页面数量最多。凭证收集活动的目标国家如下图:

此次活动中用作主机的OVH IP地址之一145.239.23.7托管了多个域,与疫情期间针对乌克兰发起的 APT活动具有潜在联系。之前披露的恶意主机名 (cloud-seuirty[.]ggpht[.]ml) 与该IP地址是在相似的时间创建的,并且针对乌克兰的攻击活动中使用的凭据收集页面模板与此活动中的其他模板相同。针对乌克兰的攻击被归因于TrickyMouse组织,它与UNC1151和Hades组织也存在一定联系。

 

总结

考虑到此次活动的目标有针对性且没有直接经济利益,研究人员认为这项活动由国家资助的APT组织发起,可能是情报收集活动的一部分,但目前暂时不能确定攻击者是否为TrickyMouse组织。

失陷指标(IOC)53
APT 钓鱼攻击 亚太 欧洲 中东 政府部门
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。