大型网络钓鱼活动以 EMEA 和 APAC 政府为目标

网络安全公司 Cyjax 的研究人员发现了一场针对亚太和欧洲、中东和非洲国家多个政府部门的大型网络钓鱼活动。 

自 2020 年春季域名首次转移到当前主机以来，网络钓鱼活动一直在进行。在发现时，专家注意到 15 个网络钓鱼页面仍然活跃，目标是吉尔吉斯斯坦、白俄罗斯、格鲁吉亚、土库曼斯坦、乌克兰、乌兹别克斯坦和巴基斯坦政府。

“此活动中的域通常以“邮件”开头。并且经常包含目标政府部门的完整域作为攻击者域上的主机名。在这次活动中，攻击者只注册了五个域：通过 Tucows 或 PublicDomainRegistry；使用 OVH SAS 或 VDSINA 来托管站点。” 阅读专家发表的分析。

域名通常以“mail”开头。并包含目标政府部门的域名和主机名。

网络钓鱼页面被精心设计为出现在目标国家政府内各部委的合法网站上，包括能源部、财政部和外交部。研究人员分析的其他页面伪装成巴基斯坦海军、乌克兰主要情报局和 Mail.ru 电子邮件服务。

外交部是主要目标，占域的四分之一。

专家推测，该活动的主要目标是白俄罗斯、乌克兰和乌兹别克斯坦，因为针对这些国家的网络钓鱼页面数量较多。

目标的性质和攻击者的 TTP 表明网络钓鱼活动是由民族国家威胁行为者精心策划的。

专家观察到，许多目标国家是俄罗斯卫星或俄罗斯本身，但这些国家通常不是网络犯罪组织的目标，以阻止当地警方的反应。 

对威胁行为者使用的其中一个 OVH IP 地址 (145.239.23.7) 的分析揭示了与Sandworm在 COVID-19 大流行期间针对乌克兰发起的TrickyMouse行动的潜在联系。

“更普遍的目标表明，这可能是代表民族国家工作的高级持续威胁 (APT) 的工作。然而，虽然这可能是一场网络犯罪活动，希望在地下论坛上充当访问经纪人，但许多目标国家是俄罗斯卫星或俄罗斯本身，许多网络犯罪分子没有针对这些国家/地区的国家法律的关注执法。” 分析结束。“因此，考虑到目标狭窄和缺乏直接经济利益，我们认为这项活动更符合国家资助的 APT 活动。”