从“.”到“-”，揭示APT组织的高级网络钓鱼新手法

近期，亚信安全威胁情报中心捕获到多起疑似来自印度方向的APT组织网络攻击活动。攻击者仿冒国家个别重要单位的邮件系统登录页面，通过邮件诱导工作人员访问这些钓鱼网站，以窃取邮箱账号和密码。仿冒邮箱域名的命名规则是将真实域名中的“.”替换为“-”，并附加第三方主域名“netlify.app”。该组织在钓鱼框架中常用动态域名000webhostapp.com作为基础设施。亚信安全威胁情报中心对掌握的数据进行了汇总和整理，形成了本篇文章。

一/仿冒官网钓鱼活动

针对北京某大学进行钓鱼

受害者访问钓鱼网站时，钓鱼网站会提示“您的邮箱登录超时，已退出，请重新登录.”弹窗。

钓鱼网站弹窗

钓鱼网站弹窗网页源码

无论受害者是否点击确认按钮均将正式跳转到攻击者仿冒的邮箱登陆网站

钓鱼网页

当受害者输入账号密码进行登录后，钓鱼网站便会将账号密码信息回传至钓鱼后台，随后钓鱼后台便会将网页跳转到"https://yuruhj*nmkfd7.000webhostapp.com/buct/action.php"

跳转url

跳转网站

某航天集团

受害者访问钓鱼网站时，钓鱼网站会显示某航天集团的电子邮件登陆网页，随后跳转到二维码登陆页面。

钓鱼网站

钓鱼网站登录页面

跳转链接

跳转网站

巴基斯坦政府

仿冒真实巴基斯坦政府登陆网站，域名极具迷惑性，当受害者输入账号密码后跳转到”https://webmail-*.000webhostapp.com/omp/action.php“

仿冒巴基斯坦政府的钓鱼网站

跳转地址

跳转网页

尼泊尔政府

诱饵文档

仿冒尼泊尔大使馆的钓鱼页面

跳转地址

国内某高校

仿冒高校的钓鱼网站

将账密信息post到本地的“progress.php”存储

存储账密信息的路径

随后跳转到官方登陆页面

跳转网站

二/仿冒邮箱进行钓鱼活动

中国某局

当受害者访问该网站时，先显示诱饵文档《招标公告》，当受害者想看详细信息时弹出登录页面，提示“邮箱会话已过期，请重新登录”，引诱受害者输入网易邮箱账号。

仿冒网易邮箱的登陆网站

诱饵文档

当受害者输入邮箱账号后将钓到的信息发送给后台，并跳转到"https://mail-*-com.000webhostapp.com/Tender_163/a.php"。

跳转网址

跳转网站

伊斯兰堡海军总部

当受害者访问该网站时，先显示诱饵文档《伊斯兰堡海军总部系统和传感器集成项目局》的一封信，当受害者想看详细信息时弹出登录页面，提示“邮箱会话已过期，请重新登录”，引诱受害者输入网易邮箱账号。同一个钓鱼诱饵会发给不同受害者。

诱饵文档

诱饵文档

引诱受害者输入账号密码：

钓鱼登陆页面

当受害者输入邮箱账号后将钓到的信息发送给后台，并跳转到"https://mail-*-com.000webhostapp.com/PakNAvy163/a.php"。

跳转url

巴基斯坦国家电子综合体

当受害者访问该网站时，先显示与《NECOP与NAVTEK合作前景》相关主题的诱饵文档，当受害者想看详细信息时弹出登录页面，提示“邮箱会话已过期，请重新登录”，引诱受害者输入网易邮箱账号。

诱饵文档

鱼登陆页面

当受害者输入邮箱账号后将钓到的信息发送给后台，并跳转到"https://gov-*-of-china.000webhostapp.com/NECOP2/a.php"。

跳转url

跳转网站

其他诱饵文档

在日常狩猎过程中发现该组织经常使用尼泊尔或巴基斯坦官方文档作为诱饵进行钓鱼，以下是部分钓鱼诱饵：

诱饵文档

诱饵文档

跳转到000webhost服务器托管的网站：

跳转url

随后跳转提示页面“website no longer available”

跳转网站

钓鱼汇总

该组织攻击目标主要为中国、尼泊尔以及巴基斯坦等南亚地区的军事、政府、教育等行业，如下表所示：

钓鱼链接汇总

防范建议

发件人身份验证：核实邮件的发件人地址和域名，看是否存在拼写错误、额外字符或数字等伪造的迹象，以确认其真实性。

邮件内容分析：仔细阅读邮件，查找语法错误、拼写错误或语言不顺的问题，钓鱼邮件通常会在语言或内容上有明显瑕疵。

检查链接和附件：悬停在邮件中的链接上查看其实际URL地址，确保它们是安全的并与邮件内容相关，避免下载或打开不可信来源的附件。

识别钓鱼网站：确认邮件中的链接是否指向真实、安全的网站，注意URL中的拼写错误、额外字符或数字，使用安全工具或在线服务进行验证。

警惕隐蔽的社交工程：注意邮件中是否有利用社交工程手法获取个人信息的企图，攻击者可能冒充高级管理人员或IT支持人员，要求提供敏感信息或执行危险操作。

监测和报告：建立有效的安全监测机制，及时检测并报告可疑邮件。

亚信安全产品解决方案

亚信安全威胁情报引擎已经全面赋能云安全、端点安全、APT高级威胁防护产品，请升级威胁情报特征库版本至2002.134，特征库更新日期20240712。

亚信安全海豚威胁情报平台（HITIP）检测此次APT钓鱼事件示例。

信舷防毒墙系统（AE）检测此次APT钓鱼事件示例。

信桅高级威胁监测系统（TDA）检测此次APT钓鱼事件示例。

亚信安全DDEI

亚信安全高级威胁邮件防护系统（DDEI）专用来检测和阻止定向工程邮件所导致的网络攻击及数据泄漏。它采用先进的恶意 软件检测引擎，URL分析以及文件和Web沙箱技术，可快速识别并阻止或隔离这些定向工程邮件。