首页 > 清静研究 > 清静转达 > 清静通告

针对多国政府网络的垂纶活动事务危害通告

宣布时间 2019-12-16

事务概述

克日，，，，异常威胁研究小组发明了一项新的网络垂纶活动，，，，旨在从美、欧洲和亚洲的政府部分窃取登录凭证，，，，现在尚不清晰幕后黑手是谁，，，，但看来确实是一连的攻击。。。。。诱骗性网络垂纶站点域托管在土耳其和罗马尼亚，，，，该活动现在处于休眠状态。。。。。

总体而言，，，，美国、加拿大、中国、澳大利亚、瑞典等国家中的22个组织已经明确遭受此次网络垂纶攻击。。。。。攻击方法都差未几，，，，涉及与目的政府机构有关的电子邮件，，，，诱骗受害者点击电子邮件链接，，，，然后输入其用户名和密码。。。。。

异常威胁研究小组确定了一项凭证网络活动，，，，旨在从多个政府采购效劳中窃取登录详细信息。。。。。许多公共和私营部分组织都使用采购效劳来匹配买家和供应商。。。。。在此运动中，，，，攻击者诱骗了多个国际政府部分，，，，电子邮件效劳和两个快递效劳的站点。。。。。发明通过网络垂纶电子邮件发送的诱饵文档包括指向诱骗性网络垂纶站点的链接，，，，这些链接伪装成与诱骗性政府机构有关的正当登录页面。。。。。然后，，，，诱使被诱骗者追踪网络垂纶电子邮件链接的受害者登录。。。。。成为敌手受害者的任何人都将向他们提供凭证。。。。。

事务影响

受影响的组织包括：

美国-美国能源部

美国-美国商务部

美国-美国退伍武士事务部

美国-新泽西州衡宇及典质金融局

美国-马里兰州政府采购效劳

美国-佛罗里达治理效劳部

美国-交通部

美国-住房和都会生长部

DHL国际快递效劳

加拿大-政府电子采购效劳

墨西哥-政府电子采购效劳

秘鲁-公共采购中心

中国-顺丰快递效劳

中国-交通运输部

日本-经济工业省

新加坡-工业和商业部

马来西亚-国际商业和工业部

澳大利亚-政府电子采购门户

瑞典-政府机关国家公共采购局

波兰-商业和投资署

目的国家：

图1中的热图显示，，，，美国主要是针对性的，，，，有50多个垂纶网站旨在窃取诱骗美国组织的凭证。。。。。加拿大，，，，日本和波兰划分紧随厥后的划分是7、6和6个垂纶网站。。。。。此运动的目的国家是：

美国

中国

新加坡

瑞典

南非

墨西哥

日本

马来西亚

波兰

秘鲁

加拿大

澳大利亚

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图1.以政府采购站点为目的的网络垂纶站点的国家热图

目的行业：

此活动针对以下行业：图2显示，，，，政府门户网站中专门用于窃取凭证的垂纶网站数目最多。。。。。

政府

电邮效劳

送货，，，，邮费和运输

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图2.饼图显示了按行业划分的诱骗组织的数目

事务剖析

诱饵文件：

此运动的目的受害者很可能在网络垂纶电子邮件中发送了诱饵文件。。。。。诱饵文件旨在迎合其目的政府所在国家/地区的语言。。。。。南非诱饵文件是用英语写的，，，，但南非是多种语言（包括英语）的所在地。。。。。图3显示了发明的诱饵文件的一些示例。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图3.该活动中视察到的诱饵文件

上面的诱饵文档包括一个嵌入式链接：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图4. pdf文档中的嵌入式链接诱骗了美国商务部

上面的PDF文件名ITB_USDOC.pdf中的链接（图4）具有一个嵌入式链接，，，，该链接将受害者定向到托管在恶意域“40-71.xyz”上的网络垂纶页面。。。。。该文档已提交给美国和法国的VirusTotal（作为电子邮件的一部分，，，，但该电子邮件不可用）。。。。。

凭证网络站点

所有站点都使用“cPanel，，，，Inc”揭晓的域验证（DV）证书。。。。。子域具有类似的命名约定，，，，以在线凭证为目的，，，，并包括清静，，，，验证，，，，出价或交付主题。。。。。图5显示了攻击者建设的凭证网络页面的示例。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图5.在该活动中视察到的凭证网络站点

网页上有清晰的标记和标签，，，，详细说明晰攻击者试图模拟的组织。。。。。攻击者使用了正当域以及自己的基础结构。。。。。美国能源部的网页托管在“https：//energy.gov.secure.server-bidsync.best/auth/login.html”上，，，，并从以下网址重定向：

“http://energy.gov.secure.bidsync.newnepaltreks.com”。。。。。重定向URL基于正当域名“newnepaltreks.com”，，，，该域名很可能已被泄密，，，，以助于举行此攻击。。。。。

威胁基础架构

在视察历程中，，，，发明了62个域和约莫122个网络垂纶站点。。。。。域上托管的所有网络垂纶站点都具有相似的命名约定：

目的域或效劳写为子域，，，，后跟恶意域或受熏染的效劳器。。。。。

身份验证，，，，出价同步，，，，采购或交付主题

网络垂纶站点主要托管在以下四个IP地点上的租用基础结构上：

31.210.96.221

193.29.187.173

91.235.116.146

188.241.58.170

对最初确定的域“server-bidsync.best”的视察确定了从客户端浏览器到恶意域的通讯中的资源哈希。。。。。视察了对https：//energy.gov.secure.server-bidsync.best/auth/alter.css的GET请求，，，，样式形式“alter.css”，，，，并且CSS剧本cd9dcb1922df26eb999a4405b282809051a18f8aa6e68edb71d619c92ebcf82d的资源哈希值导致14托管类似网络垂纶站点的新域。。。。。在许多情形下，，，，子域的编写方法完全相同，，，，从而诱骗了刚刚托管在差别域中的统一组织。。。。。使用命名约定模式和新域作为进一步的枢纽点，，，，导致发明了针对进一步政府采购效劳的网络垂纶站点。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图6.诱骗组织的基础结构概述

IP地点为31.210.96.221托管此活动的网络垂纶网站的域于2019年10月28日首次注册，，，，域名以server-bidsync.best最先。。。。。该IP地点已在土耳其注册，，，，并且已往曾加入恶意活动。。。。。其中最突出的是“leastinfo.com”域，，，，该域在一次针对亚洲金融机构以及乌尔都语和阿拉伯语使用者使用的软件的零日误差攻击活动中泛起。。。。。其他三个IP地点都在罗马尼亚注册。。。。。组织还被冒充在正当域“newnepaltreks.com”，，，，“lazapateriadematilda.cl”和“onsearch”中的网络垂纶网站所诱骗，，，，这些网站可能已经受到破损。。。。。

事务结论

这项凭证网络活动主要针对政府招标和采购效劳。。。。。对这些效劳的关注批注，，，，威胁行为者对目的政府的潜在承包商和/供应商感兴趣。。。。。该洞察力的目的可能是为了使竞争敌手胜出而接纳的经济激励步伐，，，，或者是有关潜在供应商与相关政府之间的信任关系的更恒久洞察力。。。。。诸云云类的活动很难提防，，，，由于除非托管网络垂纶页面的域被以为是恶意的，，，，不然组织防火墙将不会阻止它。。。。。正当站点还托管了垂纶页面，，，，并且可能在竞选活动中遭到破损。。。。。

参考链接

https://www.anomali.com/resources/whitepapers/phishing-campaign-targets-login-credentials-of-multiple-us-international-government-procurement-services

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

针对多国政府网络的垂纶活动事务危害通告

关于鉴黑担保网

解决计划

清静研究

联系鉴黑担保网

7*24小时效劳热线