亚信安全威胁情报中心近期在梳理安全事件时,捕获了一起钓鱼攻击活动。攻击者疑似冒充北京市某管理委员会,针对国内某高校的研究人员发起钓鱼攻击。在攻击流程中,如果成功窃取用户信息,将把这些信息保存到本地的login.php目录下,并跳转到正常网站。经过综合分析,该行为与绿斑APT组织的攻击手法高度匹配。

谁是毒云藤APT组织?

毒云藤——又称绿斑(APT-C-01)、穷奇,主要通过利用互联网暴露的目标和资产作为攻击入口,采用精密社会工程学技术结合漏洞利用手段,通过精心设计的钓鱼邮件等社交工程手法侵入目标系统。

该组织从2007年开始至今,已对中国国防、政府、科技、教育以及海事机构等重点单位和部门进行了长达17年的网络间谍活动,攻击成功后将窃取目标的敏感信息和机密信息或下发木马。该组织擅长仿冒qq邮箱、126邮箱、网易云邮箱进行网络钓鱼,将钓取到的用户信息post到本地目录下进行保存,并下载无毒文件或跳转到正常网站。

钓鱼事件分析

●钓鱼目标:*大学

●钓鱼链接:https://mail.pk*.com/

●攻击者语言使用习惯:中文简繁混用繁体为主

●组件习惯:Apache,ubuntu,PHP

●攻击习惯:仿站水坑钓鱼

钓鱼页面“展示”

图1 钓鱼页面截图

输入用户信息后,将账密信息post到本地的login.php。

图2 发包截图

最后跳转到北京市某管理委员会官网

图3 跳转网站

攻击者冒充北京市某管理委员会对某高校的研究人员发起钓鱼攻击。结合诱饵文档、域名特征、域名注册商、拓线关联等特点,判断此次钓鱼目标为教育行业。如果受害者填写了真实的邮箱账密信息,将可能发生数据泄露的风险,邮箱中的联系人及历史邮件会被攻击者拖库,受害者一旦上钩损失将难以挽回。

拓线

拓线过程中发现该组织使用的其他域名server.jih*.com,该网站后续流程与上述文章中一致,此处不进行赘述。

图4 钓鱼网站

根据已有数据,我们可以观测到本次攻击发起者域名注册规律存在相似性,拓现后如下:

事件总结&亚信安全建议

通过溯源分析发现,域名注册商为Name.com, Inc.,通过拓线关联到历史域名,在往期钓鱼过程中通常仿冒网易云邮箱、官方邮箱登录页面等进行钓鱼。结合以上特征推断此次钓鱼攻击事件为绿斑。

绿斑组织专注于国防军工、教育等领域的APT攻击,在较长时期内表现出坚定而持续的攻击决心。相较于其他的apt组织,该组织的独特之处在于主要使用历史漏洞,资源相对匮乏,仅在极少数情况下使用0day漏洞。尽管如此,该组织在社会工程技巧方面展现出强大的能力,擅长通过邮件入口构造与收件人高度相关的内容,通过社会工程手法引导被攻击者打开相关链接或载荷,实施攻击。

虽然“绿斑”组织并不是APT攻击的顶尖代表,但其威胁依然不容忽视。和其他APT攻击中出现的自研木马、商用木马相比,该组织使用一种相对低成本、更多依靠社工的攻击方式。该组织长期针对大陆地区进行邮件攻击,展现了攻击者持之以恒的决心和意图,面对这些具备坚定攻击意志、能够承受高昂成本且团队运作系统化的攻击组织,单靠简单的防御技巧是无法有效应对的,必须建立坚实的系统安全能力。

处置建议

  1. 尽量关闭不必要的端口及网络共享

  2. 全面部署安全产品,保持相关组件及时更新

  3. 保持系统以及常见软件更新,对高危漏洞及时修补

  4. 不要点击来源不明的邮件、附件以及邮件中包含的链接

  5. 请到正规网站下载程序

  6. 采用高强度的密码,避免使用弱口令密码,并定期更换密码

亚信安全产品解决方案

亚信安全威胁情报引擎已经全面赋能云安全、端点安全、APT高级威胁防护产品,请升级威胁情报特征库版本至2002.182,特征库更新日期20240924。亚信安全威胁情报中心海豚平台已能检测此次钓鱼事件,截图如下:

信舷防毒墙系统(AE)检测此次APT钓鱼事件示例。

信桅高级威胁监测系统(TDA)检测此次APT钓鱼事件示例。