来自网络安全公司Cyjax的研究人员发现了一场针对APAC和EMEA国家的多个政府部门的大规模网络钓鱼活动。
自2020年春季域名首次转让给当前主机以来,网络钓鱼活动一直在进行。在发现时,专家注意到15个网络钓鱼页面仍然活跃,目标是吉尔吉斯斯坦、白俄罗斯、格鲁吉亚、土库曼斯坦、乌克兰、乌兹别克斯坦和巴基斯坦政府。
“该活动中的域名通常以“邮件”开头,通常将目标政府部门的真实域名完整地作为攻击者域名的主机名。专家发表的分析写道:“在这次活动中,攻击者只注册了五个域名:通过Tucows或PublicDomainRegistry;使用OVH SAS或VDSINA托管这些网站。”
域名通常以“邮件”开头,并包含目标政府部门的域名和主机名。
网络钓鱼页面被精心制作成目标国家政府中各部委的合法网站,包括能源部、财政部和外交部。研究人员分析的其他页面包括巴基斯坦海军、乌克兰主要情报局和Mail.ru电子邮件服务。
外交部是主要目标,占领土的四分之一。
专家推测,该运动的主要目标是白俄罗斯、乌克兰和乌兹别克斯坦,因为针对这些国家的网络钓鱼页面数量更多。
目标的性质和攻击者的TTP表明,网络钓鱼活动是由民族国家威胁行为者策划的。
专家们注意到,许多目标国家是俄罗斯卫星或俄罗斯本身,但这些国家通常不是网络犯罪集团的目标,以防止当地警察的反应。
对威胁行为者使用的OVH IP地址之一(145.239.23.7)的分析表明,与沙虫在新冠病毒大流行期间对乌克兰发起的TrickyMouse行动有潜在联系。
“更广泛的目标表明,这可能是代表民族国家工作的高级持续威胁(APT)的工作。然而,尽管这可能是一场网络犯罪运动,希望在地下论坛上充当访问经纪人,但许多目标国家是俄罗斯卫星或俄罗斯本身,许多网络罪犯没有针对这些国家来阻止当地执法部门的关注。”分析总结道。“因此,考虑到目标狭窄和缺乏即时的财政利益,我们认为这项活动更符合国家赞助的APT运动。”
