首页 > 安全钻研 > 安全传递 > 安全公告

Bitter针对中国当局和组织的垂钓攻击事务安全公告

颁布功夫 2019-08-16

? 事务布景

今天接到前场反馈的垂钓邮件攻击事务，网络垂钓网站有6个域和40多个子域，具体针对性攻击的网站蕴含四个中华人民共和国当局机构网站，六个国有企业网站，一家香港拍卖行以及两个电子邮件服务提供商。当接见者尝试登录诓骗页面时，会向他们显示弹出验证新闻，要求用户关关他们的窗口并持续浏览。从其用到的证书发现该攻击活动应该是从2019年5月左右起头的。

境表黑客组织妄图窃取敏感信息。经分析研判，攻击者通过发送垂钓邮件等方式，诱使有关人员接见并登陆仿冒的电子邮件系统，进而窃取工作人员电子邮件账号信息。被攻击者都与经济业务、国防、航空和对表关系有关。这批注攻击者很可能是一个在授权下运作的行动者或集体，以相识中国国际化的指标和决策。

通过威胁谍报关联与APT 组织BITTER有关，BITTER重要针对中国、巴基斯坦和沙特阿拉伯。

宝运莱·(中国区)最新官方网站

? 事务描述

下面的屏幕截图是发现和调查的初始站点。域名“btappclientsvc.net”上托管的网站已于2019年5月30日注册。

宝运莱·(中国区)最新官方网站

图1

网络垂钓站点专门设计为表交部（mail.mfa.gov.cn）的登录页面，可能是克隆了原始页面。与以下网站类似，并与此告白系列中标识的子域一致。网络垂钓网站似乎旨在窃取表交部（MFA）的电子邮件痛处。一旦用户输入他们的凭证，他们就会看到图2中的新闻。

宝运莱·(中国区)最新官方网站

图2

图3显示了设计看起来像中国国度航空技术进出口公司（CATIC）的垂钓网站。

宝运莱·(中国区)最新官方网站

图3

图4为针对国度发展和鼎新委员会（NDRC）的网络垂钓站点。

宝运莱·(中国区)最新官方网站

图4

图5为针对中华民国商务部（MOFCOM）的网络垂钓网站，网络垂钓站点是通过 “tinyurl.com/y4nvpj56”沉定向到URL webmail.mofcom.gov.cn.accountverify.validation8u2904.jsbchkufd546.nxjkgdgfhh345s.fghese4.ncdjkbfkjh244e.nckjdbcj86hty1.cdjcksdcuh57hgy43.njkd75894t5.njfg87543.kdjsdkj7564.jdchjsdy.rthfgyerty33. wangluojiumingjingli.org。

宝运莱·(中国区)最新官方网站

图5

? 威胁基础设施分析

在宝运莱官方网站分析过程中，我们确定了6个域和40多个子域，仿照以下内容：四个中华民国（中华人民共和国）当局机构、六家国有企业、一家香港拍卖杏注两个电子邮件服务提供商（网易公司和Gmail）。

值妥贴心的是，每个子域仿照都蕴含一个类似的定名结构，这可能暗示此最新网络垂钓活动中涉及的威胁行为者或集体。定名的类似之处：

随机的字母和数字序列；

以恶意域名结尾；

将一个或两个附加的“l”字符增长到单词“mail”中，例如“maill”或“mailll”；

使用指标的合法域名；

“帐户验证”和“验证”字样的变体。

下面介绍每个恶意域的更多具体信息：

Domain 1 - btappclientsvc.net

域名btappclientsvc.net于2019年5月30日在注册商互联网域名服务BS公司注册到名为IceNetworks Ltd的注册人组织。注册时使用了隐衷�；し�，以维持注册人具体信息的私密性。凭据权限起头（SOA）纪录，此域与电子邮件地址汇报@ orangewebsite .com有关联，后者又与冰岛网络托管，VPS和名为OrangeWebsite的专用服务器提供商有关联。

该域名位于冰岛IP地址82.221.129.17，并分配给该组织Advania Island ehf（AS50613）。

在从前的12个月中，观察到此IP被托管的垂钓网站假装成各个部门的组织，蕴含：金融（巴克莱，瑞士信贷，Keytrade银行）、付款处置（PayPal）、加密钱币（Bittrex）。

托管域名btappclientsvc.net的服务器装置了Let's Encrypt-issued SSL / TLS证书（SN：308431922980607599428388630560406258271383），有效期为2019年7月30日至2019年10月28日，为期90天。凭据证书的主题备选规划名称（SAN），有四个分歧的子域名，用于假意两个中华人民共和国（PRC）当局机构和一个国有防务公司：

中国国度航空技术进出口总公司（CATIC），国防工业国有企业，中华人民共和国表交部（MFA），国度发展和鼎新委员会，中华人民共和国国度发改委，国务院宏观经济治理机构。

下图暗示为假意中国组织而设置的诓骗性子域名，并利用这些子域名来提议网络垂钓活动：

宝运莱·(中国区)最新官方网站

Domain 2 - v3solutions4all.com

与第一个域类似，v3solutions4all.com也于2018年12月28日在注册商Internet域名服务BS公司注册，并与注册人组织Icenetworks Ltd.有关联。再次，SOA纪录显示使用一样的冰岛网络托管提供商OrangeWebsite和电子邮件地址汇报@ orangewebsite.com。

域v3solutions4all.com解析为基于冰岛的IP地址82.221.129.19（AS50613 - Advania Island ehf）。此域名和IP地址之前已与BITTER APT有关联，并基于360-CERT的汇报，针对中国当局机构进行网络垂钓攻击。

托管域v3solutions4all.com的服务器装置了Let的加密颁布的SSL / TLS证书（SN：284039852848324733535582218696705431782795），有效期为2019年4月29日至2019年7月28日，为期90天。凭据证书的主题备选规划名称（SAN），有九个分歧的子域名，用于假意一个中国当局机构和两个国有的国防公司：

中华人民共和国表交部（MFA），中国航空技术进出口总公司（CATIC），中国电子进出口总公司（CEIEC）是一家国有企业，由中国中央当局辅导，在国度安全和经济发展的关键领域发展国际合作。

以下代表为假意中国企业并利用其提议网络垂钓活动而设立的诓骗性子域名：

宝运莱·(中国区)最新官方网站

Domain 3 - winmanagerservice.org

域名winmanagerservice .org于2019年2月20日在Registrar OnlineNIC Inc.注册，并与注册人组织International Widespread Services Limited有关联。域名可能是对Windows Service Manager的引用，Windows Service Manager是治理Windows服务各个方面的单一治理点;但是，目前还不明显所选名称背后的沉要性。

该域名于94.156.175.61（AS206776 - Histate Global Corp.），位于保加利亚索非亚，也是105个可疑域名的东路主。凭据域的SOA纪录，它与2019年2月22日至2019年5月13日的Gmail帐户techslogonserver {at} gmail . com有关联。此电子邮件与2016年在印杜仔地址的一个注册商有关联。域名服务器（NS）纪录标识它被分配给名称服务器dns11.warez-host.com和dns12.warez-host.com，它们也是用于可疑和恶意站点的服务器。

托管域名winmanagerservice.org的服务器装置了Let's Encrypt-issued SSL / TLS证书（SN：262081132907426754038710300383315550862850），有效期为2019年4月23日至2019年7月22日，为期90天。凭据证书的主题选择名称（SAN），创建了九个分歧的子域来假意五个怪异的中国组织：

中华人民共和国表交部（MFA），中国航空技术进出口总公司（CATIC），网易服务：126.com和163.com，保利拍卖香港有限公司，一间位于香港的拍卖行。

下图显示了诓骗性子域名，并用于装置网络垂钓活动：

宝运莱·(中国区)最新官方网站

Domain 4 - winmanagerservice.net

域名winmanagerservice.net于2018年11月20日在Registrar NetEarth One Inc.注册，使用GDPR屏蔽来暗藏注册人的信息。在本汇报颁布时，域未解析为IP地址，但是，它分配给两个名称服务器：ns1.bitcoin-dns.com和ns2.bitcoin-dns.com。此服务器还可用作各类恶意活动的名称服务器，例如网络垂钓，恶意软件托管和分发以及梳理商店。威胁行为者或集体创建的一个有趣的子域假意国务院国有资产监督治理委员会（SASAC）：

maill.sasac.gov.cn.accountverify.validation8u6453.jsbch876452.nxjkgdg096574.fghe5392.ncdjkbfkj873e65.nckjdbcj86hty1.cdjcksdcuh57hgy43.njkd8766532.njfg73452.kdjsdkj7564.jdchjsdy.rthfgyert231.winmanagerservice.net

在分析时，我们无法检索以SASAC为主题的网络垂钓页面，但的确找到了2018年11月20日在<hxxp：//www.winmanagerservice.net /上托管的盛开目录的汗青截图>蕴含一个CGI-bin文件夹。2018年恶意域名winmanagerservice.net的屏幕截图：

宝运莱·(中国区)最新官方网站

对winmanagerservice.net的汗青IP地址解析搜索确定它从2018年11月20日到2019年2月22日解析为基于美国的IP地址162.222.215 . 96（AS54020 - Admo.net LLC）。同样搜索发现了一个汗青发件人政策框架（SPF）纪录，该纪录指定基于美国的IP地址162.222.215 . 2（AS 8100 QuadraNet Enterprises LLC）被授权代表winmanagerservice.net从12月10日起头发送电子邮件流量，2018年至2019年2月22日。

Domain 5 - cdaxpropsvc.net

域名cdaxpropsvc.net于2019年3月21日在Registrar OnlineNIC Inc.注册。它与注册人组织International Widespread Services Limited的阿联酋注册人IWS有限公司使用注册人电子邮件信息@iws.com。对此注册人电子邮件的反向Whois查问发现了使用此地址创建的122个域，这些域可追忆到2014年6月8日以及最近的2019年8月1日。

该域名于94.156.175.61，位于保加利亚索非亚，也是105个可疑域名的东路主。凭据域的SOA纪录，它自2019年3月22日起与Gmail帐户techslogonserver@gmail.com有关联，并分配给名称服务器dns11.warez-host.com和dns12.warez-host.com。

凭据托管域cdaxpropsvc .net的服务器的汗青SSL / TLS证书，我们发现12个子域仿照针对四个国防部门的国有企业和免费电子邮件服务提供商NetEase和Gmail。在分析时，子域名没有主办网站;但是，凭据威胁参加者或群组的定位模式，很有可能创建它们来托管旨在窃取用户痛处的虚伪登录网络垂钓页面。

中国航空技术进出口总公司（CATIC），中国长城工业总公司（CGWIC），中国敌灾授权提供贸易发射服务，卫星系统和发展空间技术合作的唯一贸易组织，中国核工业集团公司（CNNC），一家出产和分销核电产品，经营核环境工程建设，核军事开发和其他业务的国有企业，中国中原工程总公司（CZEC）承揽和建设国际核工程和土木工程项目，网易公司服务163.com，Gmail。

以下代表为假冒这些组织而创建的诓骗性子域名，并用于提议网络垂钓活动：

Domain 6 - wangluojiumingjingli.org

在调查IP地址82.221.129.18和域名wangluojiumingjingli.org时，我们发现针对中国当局组织的2个子域仿照：中华人民共和国商务部（MOFCOM）和航空工业公司中国（AVIC）。在分析时，航空子域没有主办网站; 但是，基于威胁行为者或群组的定位模式，很可能它们是为了托管用于窃取用户痛处的虚伪登录网页仿冒页面而创建的。有一个针对商务部的糊弄网站的屏幕截图显示了一个虚伪的电子邮件登录页。

宝运莱·(中国区)最新官方网站

其中三个域名托管在统一个托管服务提供商处;orangewebsite.com。该托管服务提供商位于冰岛，占有出格壮大的数字隐衷和谈，险些没有互联网审查。托管服务提供商也接受比特币作为支付方式，这很可能是它用于恶意主张的吸引力。

? 防护建议

1，迅速核查事务影响，将垂钓网站地址参与黑名单，阻断接见渠路；
2，实时批改电子邮件账户口令，预防信息泄露；
3，发展网络安全隐患排查和安全加固工作，提高安全防备能力；

4，发现网络攻击实时措置并汇报。

? IOC

以下信息已更新至www.venuseye.com.cn平台。
325ece940de9fb486ef83b680ad00d385b64e435923d1bbc19cbcf33e220c2a2
5538badac0221b42f457920802b23ebd8ccf2c64b1fb827cd6458a7f9de2c6de
6a10a699f0ef084f5070968ae3cc35075990778bf82dca7e0477eeaebbee4eb1
7bc4f48a4345f4a47dabbf686a714d3e4c9af9d9f26e73ca873f54a4f164b732
823f85eb6d3465145bb34e570b870e39001c4ec61f7ca325f88a23edee75654f
940a1bd16be51cd264ee7e315841b8aa0b0b86d3392d4d08ca00151f01a5cd28
f456f2a2802242e1404ef9a586366820c4bd7f7f3b113209d56fc34dee2d75bf
82.221.129.17
82.221.129.18
82.221.129.19
94.156.175.61
btappclientsvc.net
cdaxpropsvc.net
mail.btappclientsvc.net
mail.v3solutions4all.com
mail.winmanagerservice.org
maill.126.com.cn.accountvalidation.vj65rfy785ru76.com.winmanagerservice.org
maill.163.com.accountvalidation.verifay768ht7u6h.com.cdaxpropsvc.net
maill.163.com.cn.accountvalidation.bh34567gh67.com.winmanagerservice.org
maill.catic.cn.accountvalidation.verifay.ysfts69887tgyu67tg6r.com.btappclientsvc.net
maill.catic.cn.accountvalidation.verifay783g677hui.com.cdaxpropsvc.net
maill.catic.cn.accountverify.validation567fg57f58g6.com.winmanagerservice.org
maill.catic.cn.accountverify.validation8u2745.v3solutions4all.com
maill.ceiec.cn.accountverify.validation7h8k97hnku0j.com.v3solutions4all.com
maill.cgwic.com.accountvalidation.verifay765hgy87.com.cdaxpropsvc.net
maill.cnnc.com.cn.accountvalidation.verifay2367bdg56.com.cdaxpropsvc.net
maill.czec.com.cn.accountvalidation.verifay728gh4dgy6378et6.com.cdaxpropsvc.net
maill.mfa.gov.cn.accountverify.validation8u77654.winmanagerservice.org
maill.mfa.gov.cn.accountverify.validation8u77654.winmanagerservice.org
maill.mfa.gov.cn.accountverify.validationgyy837rgyud2378rry.com.v3solutions4all.com
maill.ndrc.gov.cn.accountvalidation.verifay.vhj876uh786uy687.com.btappclientsvc.net
maill.polyauction.com.accountvalidation.security.jjh98iukhuj78.com.winmanagerservice.org
maill.sasac.gov.cn.accountverify.validation8u6453.jsbch876452.nxjkgdg096574.fghe5392.ncdjkbfkj873e65.nckjdbcj86hty1.cdjcksdcuh57hgy43.njkd8766532.njfg73452.kdjsdkj7564.jdchjsdy.rthfgyert231.winmanagerservice.net
mailll.mfa.gov.cn.accountvalidation.verifay.jk78huy688h67kjg7it8.com.btappclientsvc.net
techslogonserver@gmail.com
v3solutions4all.com
wangluojiumingjingli.org
webmail.avic.com.accountverify.validation8u7329.jsbchk82056.nxjkgdgf34523.fghe5103.ncdjkbfkjh5674e.nckjdbcj86hty1.cdjcksdcuh57hgy43.njkd75894t5.njfg87543.kdjsdkj7564.jdchjsdy.rthfgyerty86.wangluojiumingjingli.org
webmail.mofcom.gov.cn.accountverify.validation8u2904.jsbchkufd546.nxjkgdgfhh345s.fghese4.ncdjkbfkjh244e.nckjdbcj86hty1.cdjcksdcuh57hgy43.njkd75894t5.njfg87543.kdjsdkj7564.jdchjsdy.rthfgyerty33.wangluojiumingjingli.org
winmanagerservice.net
winmanagerservice.org

? 参考链接

https://www.anomali.com/blog/suspected-bitter-apt-continues-targeting-government-of-china-and-chinese-organ

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研

Bitter针对中国当局和组织的垂钓攻击事务安全公告

关于宝运莱官方网站

解决规划

安全钻研

联系宝运莱官方网站

7*24幼时服务热线