电脑装配网

LUCKY ELEPHANT钓鱼活动窃取政府登录凭证

 人阅读 | 作者xiaolin | 时间:2022-09-15 23:49

在2019年3月初,ASERT研究人员发现了一项主要针对南亚政府的登录凭证窃取活动,称之为LUCKY ELEPHANT(幸运象)。该攻击活动背后的威胁行为者使用钓鱼网页来模仿外国政府,电信和军队等合法实体的官方网页。此次活动中所发现的基础设施与疑似印度APT组织——DoNot Team(又名APT-C-35)有所关联。

主要发现

LUCKY ELEPHANT的攻击活动中,攻击者伪装成合法实体,如外国政府,电信和军队。钓鱼网页的主要目的是收集登录凭据,研究人员尚未观察到与攻击活动相关的恶意软件有效负载。

LUCKY ELEPHANT活动中使用的一个IP地址之前曾被疑似来自印度的APT组织——DoNot Team使用。

DoNot Team / APT-C-35

2017年,研究人员发现并披露了主要针对巴基斯坦等南亚地区国家进行网络间谍活动的组织,内部跟踪代号为APT-C-35,其后网络安全厂商Arbor公开了该组织的活动并命名为DoNotTeam。DoNotTeam主要针对巴基斯坦等南亚地区国家进行网络间谍活动,该组织主要针对政府机构等领域进行攻击,其中以窃取敏感信息为主。从2017年至今,该组织针对巴基斯坦至少发动了5波攻击行动,攻击过程主要是以携带Office漏洞或者恶意宏的鱼叉邮件进行恶意代码的传播,并先后使用了两套独有的恶意代码框架:EHDevel和yty。

攻击者针对目标的整个攻击过程如下:

钓鱼攻击

从2019年2月至今,LUCKY ELEPHANT威胁行为者模仿南亚政府网站以及Microsoft Outlook 365登录页面并将其托管在自己的服务器上,可能是为了欺骗受害者提供登录凭据。他们为各种顶级域名(TLD)注册了他们的分网页(doppelganger),特别是那些能够让注册人匿名的域名。ASERT怀疑攻击者使用网络钓鱼电子邮件诱骗受害者进入虚假网站,并诱使用户输入他们的凭据。

下图显示了两个分网页(doppelganger)网页,攻击者显然打算将其包装成让用户输入凭据的合法网页:

模仿孟加拉国海军的伪造登录页面

模仿尼泊尔军队的伪造登录页面

受害者

迄今为止,ASERT并不知道哪些具体的组织单位被成功攻击。以下是被模仿组织的列表:

巴基斯坦

巴基斯坦原子能委员会

巴基斯坦外交部

巴基斯坦国家电信公司

巴基斯坦空军

巴基斯坦法律与司法部

巴基斯坦总理办公室

边疆工作组织

巴基斯坦军械厂

巴基斯坦核监管局

孟加拉国

孟加拉国空军

孟加拉国海军

孟加拉国武装部队

快速行动营

斯里兰卡

斯里兰卡空军

马尔代夫

马尔代夫国防军

缅甸

缅甸外交部

尼泊尔

尼泊尔军队

尼泊尔外交部

中国

上海合作组织(欧亚政治,经济和安全联盟)

基础设施

研究人员发现了两个活动IP地址:128.127.105[.]13和179.43.169[.]20。通过监控这些IP地址的过程,研究人员发现了更多新的分散域名,以促进凭证收集活动。该活动始于2019年2月,目前似乎仍在进行中。

值得注意的是,域名yahoomail[.]cf仅从2019年2月开始才与该APT组织活动相关联。子域security[.]yahoomail[.]cf和cc[.]yahoomail[.]cf与思科Talos报告的ExileRAT活动有关。

攻击目标

根据ASERT研究人员对攻击活动的分析,大致可以认为印度APT小组——DoNot Team是LUCKY ELEPHANT背后的攻击者。其发起的网络钓鱼和凭证盗窃通常在印度针对区域内进行。

除了邻国之外,DoNotTeam还有大量针对巴基斯坦的历史。自2017年以来,曾发生了四次针对巴基斯坦的不同攻击活动,最近针对在中国工作的巴基斯坦商人。

巴基斯坦、孟加拉国、斯里兰卡、马尔代夫、缅甸、尼泊尔和上海合作组织的目标都是印度的历史间谍目标。印度政府特别关注其邻国,特别是与其有争议的国家。巴基斯坦是其最主要的目标,两国之间持续的紧张局势,自2019年2月14日在克什米尔发生恐怖主义袭击事件以来,这种紧张局势已经升级。

南亚地图

IOC

疑似印度APT组织此前攻击中国

至少从2015年开始,一个被称为BITTER (蔓灵花)的南亚(疑似印度)威胁组织一直在使用以前未报告过的下载器变种攻击巴基斯坦和中国组织。研究人员根据样本中发现的PDB字符串将这个恶意软件系列命名为ArtraDownloader。研究人员发现的这个下载器的三个变体,最早的时间戳是2015年2月。这个下载器会下载与BITTER威胁组织相关的远程访问特洛伊木马(RAT)BitterRAT 。从2018年9月开始,一直到2019年初,BITTER针对巴基斯坦和沙特阿拉伯发起了一波攻击,这是BITTER攻击沙特阿拉伯的首例报道。

蔓灵花(T-APT-17、BITTER)APT组织是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织,该APT组织为目前活跃的针对境内目标进行攻击的境外APT组织之一。该组织主要针对政府、军工业、电力、核等单位进行攻击,窃取敏感资料,具有强烈的政治背景。该组织最早在2016由美国安全公司Forcepoint进行了披露,并且命名为“BITTER”,国内将其命名为“蔓灵花”。

蔓灵花攻击始于2013年11月,但一直到2016年才第一次被曝光。研究人员在2018年五月份捕捉到了疑似该组织对我国境内敏感单位的攻击活动,但是由于当时无法下载到具体的攻击模块,因此无法进行进一步的关联和分析。而在十月底,国内研究人员再次捕捉到了疑似该组织对我国的军工业、核能、政府等重点单位的攻击,并且获取到了完整的攻击武器库,经过进一步的关联分析,研究人员确认该攻击组织就是2016年曝光的蔓灵花。

结论

网络安全成为国与国之间博弈的新战场。此前蔓灵花(BITTER)攻击的目标为国内政府组织以及大型能源央企,意在窃取情报。这充分显示,随着我国“一带一路”等国家战略的逐步推进,给沿线国家及国际社会带来深远影响,一些境外有组织的黑客团队将会不断利用包括APT攻击等手段试图窃取相关情报或者实施破坏行为。类似“一带一路”、“军民融合”等战略方向,也是海莲花组织(APT-C-00)、摩诃草组织(APT-C-09)、APT-C-05、APT-C-12、APT-C-17等这些攻击组织重点关注的领域。

目前尚不清楚此次LUCKY ELEPHANT攻击活动在收集凭据的结果和广泛程度,以及如何使用任何受损的凭据。然而很明显,参与者正在积极建立基础设施,针对南亚的政府,以窃取敏感信息为目的。尽管还没有足够的证据证明该APT组织来自印度,但基于威胁预警还需严加防范,尤其是考虑到印度一直视中国为潜在的威胁,中印也遗留了不少历史问题,比如边界问题等等。且中国“一带一路”项目在南亚地区有不少合作国家,一旦这些国家被窃取了相关的机密信息,对于中国来说,同样会造成一定的损失。

建议

在南亚有业务来往的组织部门应该密切留意此次攻击活动并检查任何“密码”或“帐户”相关主题的电子邮件。当电子邮件指示用户输入任何类型的凭据时,用户应始终保持警惕。

用户还应该了解具有顶级域名(例如.tk、.ml、.ga、.gq和.cf)的网站,因为它们不太可能是合法的政府或公司域名。

使用多因素身份验证可能会阻止来自受损凭据的访问。如果怀疑是凭证窃取行为,管理员应该:

立即执行密码重置;

查找异常的登录活动;

对用户进行信息安全培训。

9999.jpg


文章标签:

本文链接:『转载请注明出处』