Anomali威胁研究小组最近发现了一个网络钓鱼网站冒充中华人民共和国外交部电子邮件服务的登录页面。如果访问者尝试登录这个钓鱼页面，网站就会向他们弹出一条验证消息，要求用户关闭窗口并继续浏览。研究人员通过对攻击者的基础设施进行进一步分析后发现，其幕后攻击者还针对中国的其他政府网站和国有企业网站进行了大范围的钓鱼活动。在调查中发现的一个域名被中国安全供应商“CERT 360”认定为2019年5月“APT恶意攻击”的一部分。目前Anomali已经确认，幕后的策划者还会进一步对中国的政府网站发起进一步攻击。基于Let’s Encrypt证书发布日期，研究人员认为该活动开始于2019年5月。研究人员预计，BITTER APT将继续以中国的政府为目标，利用伪造的登录页面窃取用户凭证，获取特权账户信息。

发现过程

一开始，Anomali的研究人员发现了一个类似外交部电子邮件登录页面的网站，进一步调查发现，另有还有大约40个被攻击的网站，都和中国的政府和其他组织有关。所有被攻击的网站都使用“Let’s Encrypt”颁发的域验证(DV)证书。子域名似乎有类似的命名约定，主要针对在线邮件登录，并包含验证或帐户验证主题。

网络钓鱼的过程

下面的截图是最初发现的样本，域名“btappclientsvc[.]net” 上托管的网站已于2019年5月30日注册。

针对外交部的钓鱼网站

该钓鱼网站被专门设计成外交部的登录页面(mail.mfa.gov.cn)，很有可能是克隆了原始页面。它与以下网站类似，并与此攻击系列中标识的子域一致。这些钓鱼网站的目的似乎是窃取外交部(MFA)的电子邮件凭证。一旦用户输入了凭证，就会看到图2中的消息。

受害者登录网站后的消息

针对中国航空技术进出口总公司(CATIC)的钓鱼网站

针对国家发改委的钓鱼网站

针对中华人民共和国商务部的钓鱼网站

图5所示的钓鱼网站是通过使用URL短地址“TinyURL”传播的，该URL  “tinyurl[.]com/y4nvpj56”会被重定向到

webmail.mofcom.gov.cn.accountverify.validation8u2904.jsbchkufd546.nxjkgdgfhh345s.fghese4.ncdjkbfkjh244e.nckjdbcj86hty1.cdjcksdcuh57hgy43.njkd75894t5.njfg87543.kdjsdkj7564.jdchjsdy.rthfgyerty33.wangluojiumingjingli[.]org

基础设施的分析

在分析过程中，我们确定了6个域和40多个子域，它们模仿了以下内容:

1. 四家中华人民共和国政府机构；

2. 6个国有企业；

3. 一家香港拍卖行；

4. 两家电子邮件服务商(网易公司和Gmail)。

值得注意的是，每个子域模拟都包含一个类似的命名结构，这可能表示在最新的钓鱼活动中涉及相同的威胁参与者或团体。以下重点介绍命名的相似之处：

1. 字母和数字的随机序列；

2. 以恶意域名结尾；

3. 在“mail”一词中增加一两个“l”字，如“maill”或“mailll”；

4. 使用攻击目标的合法域名；

5.“accountvalidation”和“verify”两个词的变体。

以下部分提供了有关每个恶意域的更多详细信息：

btappclientsvc[.]net

域名btappclientsvc[.]net 于2019年5月30日在域名注册服务商BS Corp.注册了IceNetworks Ltd.。而且注册时使用了隐私保护服务，以保持注册人详细信息的隐私。根据权限开始（SOA）记录，此域与电子邮件地址reports@orangewebsite[.]com相关。而reports@orangewebsite[.]com又与冰岛网络托管，VPS和名为OrangeWebsite的专用服务器提供商相关联。

该域名托管在基于冰岛的IP地址82.221.129[.]17，并分配给该组织，Advania Island ehf (AS50613)。在过去十二个月，有人观察到该IP托管伪装成不同行业组织的钓鱼网站，包括:

金融（巴克莱，瑞士信贷，Keytrade银行）；

付款处理（PayPal）；

加密货币（Bittrex）。

托管域名btappclientsvc[.]net的服务器安装Let’s Encrypt-issued SSL/TLS 证书（SN: 308431922980607599428388630560406258271383），有效期为2019年7月30日至2019年10月28日，为期90天。根据证书的主题备选方案名称（SAN），攻击者创建了四个不同的子域名来模拟两个中华人民共和国政府机构和一家国有国防企业:

中国航空技术进出口总公司；

中华人民共和国外交部；

国家发展和改革委员会。

下图显示了冒充中华人民共和国组织而创建的钓鱼子域名，攻击者就是利用这些子域名发起的钓鱼活动：

2019年5月30日创建的域名的三个主要目标(中航工业、MFA和发改委)

v3solutions4all[.]com

与第一个域类似，v3solutions4all[.]com也于2018年12月28日在BS Corp.进行了注册，并与注册机构Icenetworks Ltd.关联。同样，SOA记录显示该域名也使用了相同的冰岛网络托管提供商OrangeWebsite和电子邮件地址reports@orangewebsite[.]com。orangewebsite，成立于2006年，冰岛主机商，运作：虚拟主机、VPS、独立服务器，数据中心在”雷克雅末克“，也就是冰岛首都。

域v3solutions4all[.]com解析为基于冰岛的IP地址82.221.129[.]19 (AS50613 – Advania Island ehf).。基于360-CERT的报告，研究人员认为该域名和IP地址此前一直与恶意APT联系在一起，并用钓鱼攻击的方式攻击中国政府机构。

托管域 v3solutions4all[.]com的服务器已安装 Let’s Encrypt-issued SSL/TLS certificate (SN: 284039852848324733535582218696705431782795)，有效期为90天，从2019年4月29日至2019年7月28日。根据证书的主题备选方案名称（SAN），总共有九个不同的子域名，用于冒充一个中国政府机构和两个国防公司：

中华人民共和国外交部；

中国航空技术进出口总公司（CATIC）；

中国电子进出口总公司(CEIEC)。

以下是为冒充中华人民共和国机构而创建的钓鱼子域名，黑客就是利用这些子域名发起的钓鱼活动:

2018年12月28日创建的域名的三个主要攻击目标（CATIC，CEIEC和MFA）

winmanagerservice[.]org

域winmanagerservice[.]org于2019年2月20日在OnlineNIC 公司注册，并与注册机构 International Widespread Services Limited相关联。该域名很可能是对WindowManagerService(以下简称 WMS)的引用。

该域名托管在 94.156.175[.]61 (AS206776 – Histate Global Corp.)，位于保加利，也是105个可疑域名的托管服务器。根据域的SOA记录，该域名与Gmail帐户techslogonserver{at}gmail[.]com相关联。2019年2月22日至5月13日，这封邮件的地址的注册商位于印度，该域名的名称服务器(NS)记录标识它被分配到名称服务器dns11.warez-host.com和dns12.warez-host.com，这两个服务器也用于可疑和恶意网站。

托管域名winmanagerservice[.]org的服务器安装了Let's Encrypt-issued SSL/TLS证书（SN：262081132907426754038710300383315550862850），有效期为2019年4月23日至2019年7月22日，为期90天。根据证书的主题选择名称（SAN），可以知道，创建的9个不同的子域名被用来模拟5个中国境内的网站:

中华人民共和国外交部；

中国航空技术进出口总公司；

网易服务：126.com和163.com；

保利拍卖香港有限公司。

下图显就是被钓鱼攻击后的域名，攻击者就是利用这些子域名发起钓鱼活动的：

2019年2月20日创建的域的主要攻击目标（Polyauction house，MFA，CATIC，163和126）

winmanagerservice[.]net

域winmanagerservice[.]net于2018年11月20日在NetEarth One 公司被注册，并使用GDPR屏蔽来隐藏注册人的信息。截止发稿时，该域并没有被解析为IP地址，但是，它被分配给两个名称服务器: ns1.bitcoin-dns[.]com 和ns2.bitcoin-dns[.]com.。另外，此服务器还可用作各种恶意活动的名称服务器，例如网络钓鱼，恶意软件托管和传播以及刷卡商店。这意味着，威胁行为者会模仿国务院国有资产监督管理委员会(国资委)创建一个钓鱼子域名:

maill[.]sasac[.]gov[.]cn[.]accountverify.validation8u6453.jsbch876452.nxjkgdg096574.fghe5392.ncdjkbfkj873e65.nckjdbcj86hty1.cdjcksdcuh57hgy43.njkd8766532.njfg73452.kdjsdkj7564.jdchjsdy.rthfgyert231.winmanagerservice[.]net

不过在对该子域名进行分析时，研究人是无法检索到以SASAC为主题的网络钓鱼页面。幸运的是，研究人员发现了一张2018年11月20日的历史截屏，如下所示，研究人员发现了托管在<hxxp://www[.]winmanagerservice[.]net/> 上的一个开放目录包含了一个单独的CGI-bin文件夹。CGI-BIN是一种特殊的目录，在进行交互式的WWW访问（如填写在线表格）时，需要服务器上有 相应的程序对访问者输入的信息进行处理，这些程序就是CGI程序。CGI程序不能放在任意的目录下，只能放在CGI-BIN目录下。有的虚拟主机系统只提供一个公用的CGI-BIN目录，放置一些常用 的CGI程序供虚拟主机用户使用，这对用户不够方便，因为用户经常需要放置自己编制的CGI程序。

2018年恶意域名winmanagerservice[.]net 的屏幕截图

通过对2018年恶意域名winmanagerservice[.]net 的屏幕截图的历史IP地址进行解析，研究人员确定它从2018年11月20日到2019年2月22日，使用了基于美国的IP地址162.222.215[.]96 (AS54020 – Admo.net LLC)。另外，研究人员还发现了一个发件人策略框架（Sender Policy Framework，SPF）记录，该记录指定了基于美国的IP地址162.222.215[.]2 (AS 8100 QuadraNet Enterprises LLC)的winmanagerservice[.]net可以从2018年12月10日至2019年2月22日发送电子邮件。

cdaxpropsvc[.]net

域cdaxpropsvc[.]net于2019年3月21日在OnlineNIC 公司被注册，对此注册人电子邮件的反向Whois查询发现，使用此地址创建的122个域，这些域可追溯到2014年6月8日以及最近的2019年8月1日。

域名托管在94.156.175[.]61，位于保加利。根据域的SOA记录，它与Gmail帐户techslogonserver{at}gmail[.]com相关联。自2019年3月22日起，该域被分配给dns11.warez-host.com和dns12.warez-host.com命名服务器。

根据托管域cdaxpropsvc[.]net的服务器的历史SSL / TLS证书，研究人员发现共有12个子域对四个国防企业与免费电子邮件服务提供商NetEase和Gmail进行了钓鱼攻击。但这些子域名并没有托管网站，所以研究人员猜测，它们很有可能是用来托管旨在窃取用户凭据的虚假登录网络钓鱼页面的。受影响的企业包括：

中国航空技术进出口总公司（CATIC）；

中国长城工业集团公司(CGWIC)；

中国核工业集团公司(CNNC)；

中国中原工程集团公司(CZEC)；

网易公司服务163.com；

Gmail。

以下就是那些被创建的网络钓鱼页面的子域名，攻击者就是利用这些子域名发起钓鱼攻击的：

2019年3月21日创建的域名的主要目标(CATIC、CGWIC、CNNC、CZEC、163和Gmail)

wangluojiumingjingli[.]org

当调查IP地82.221.129[.]18和域名wangluojiumingjingli[.]org时，研究人员发现了两个针对中国政府机构的钓鱼子域名：中华人民共和国商务部(MOFCOM)和中国航空工业集团公司(AVIC)。在分析时，虽然中国航空工业集团公司的子域名没有托管网站，然而，它们很可能是被创建来托管用于窃取用户凭证的虚假登录钓鱼页面的。这个针对商务部的钓鱼网站的截图显示了一个伪造的电子邮件登录页面。

2019年4月创建的域名的主要攻击目标（商务部和中航工业）

其中的三个域名被托管在同一个服务商：orangewebsite.com，该托管服务提供商总部位于冰岛，拥有特别强大的数字隐私协议，几乎不受互联网审查。另外，托管提供商还接受比特币作为支付方式，这可能是它吸引恶意攻击者驻足于此的原因吧。

总结

Anomali威胁研究小组发现了一种新的网络钓鱼攻击，它利用了一些钓鱼网站，窃取目标受害者的电子邮件凭证。虽然目前很难查明攻击者的确切动机，但研究人员认为这很可能是为了从事某种形式的间谍活动。