大型網絡釣魚活動以 EMEA 和 APAC 政府為目標

網絡安全公司 Cyjax 的研究人員發現了一場針對亞太和歐洲、中東和非洲國家多個政府部門的大型網絡釣魚活動。 

自 2020 年春季域名首次轉移到當前主機以來，網絡釣魚活動一直在進行。在發現時，專家注意到 15 個網絡釣魚頁面仍然活躍，目標是吉爾吉斯斯坦、白俄羅斯、格魯吉亞、土庫曼斯坦、烏克蘭、烏茲別克斯坦和巴基斯坦政府。

“此活動中的域通常以“郵件”開頭。并且經常包含目標政府部門的完整域作為攻擊者域上的主機名。在這次活動中，攻擊者只注冊了五個域：通過 Tucows 或 PublicDomainRegistry；使用 OVH SAS 或 VDSINA 來托管站點。” 閱讀專家發表的分析。

域名通常以“mail”開頭。并包含目標政府部門的域名和主機名。

網絡釣魚頁面被精心設計為出現在目標國家政府內各部委的合法網站上，包括能源部、財政部和外交部。研究人員分析的其他頁面偽裝成巴基斯坦海軍、烏克蘭主要情報局和 Mail.ru 電子郵件服務。

外交部是主要目標，占域的四分之一。

專家推測，該活動的主要目標是白俄羅斯、烏克蘭和烏茲別克斯坦，因為針對這些國家的網絡釣魚頁面數量較多。

目標的性質和攻擊者的 TTP 表明網絡釣魚活動是由民族國家威脅行為者精心策劃的。

專家觀察到，許多目標國家是俄羅斯衛星或俄羅斯本身，但這些國家通常不是網絡犯罪組織的目標，以阻止當地警方的反應。 

對威脅行為者使用的其中一個 OVH IP 地址 (145.239.23.7) 的分析揭示了與Sandworm在 COVID-19 大流行期間針對烏克蘭發起的TrickyMouse行動的潛在聯系。

“更普遍的目標表明，這可能是代表民族國家工作的高級持續威脅 (APT) 的工作。然而，雖然這可能是一場網絡犯罪活動，希望在地下論壇上充當訪問經紀人，但許多目標國家是俄羅斯衛星或俄羅斯本身，許多網絡犯罪分子沒有針對這些國家/地區的國家法律的關注執法。” 分析結束。“因此，考慮到目標狹窄和缺乏直接經濟利益，我們認為這項活動更符合國家資助的 APT 活動。”