首页 > 清静研究 > 清静转达 > 清静通告

Bitter针对中国政府和组织的垂纶攻击事务清静通告

宣布时间 2019-08-16

? 事务配景

今天接到前场反响的垂纶邮件攻击事务，网络垂纶网站有6个域和40多个子域，详细针对性攻击的网站包括四其中华人民共和国政府机构网站，六个国有企业网站，一家香港拍卖行以及两个电子邮件服务提供商。当会见者实验登录诓骗页面时，会向他们显示弹出验证新闻，要求用户关闭他们的窗口并继续浏览。从其用到的证书发明该攻击运动应该是从2019年5月左右最先的。

境外黑客组织妄图窃取敏感信息。经剖析研判，攻击者通过发送垂纶邮件等方法，诱使相关职员会见并上岸仿冒的电子邮件系统，进而窃取事情职员电子邮件账号信息。被攻击者都与经济商业、国防、航空和对外关系有关。这批注攻击者很可能是一个在授权下运作的行动者或整体，以相识中国国际化的目的和决议。

通过威胁情报关联与APT 组织BITTER有关，BITTER主要针对中国、巴基斯坦和沙特阿拉伯。

尊龙凯时·(中国区)人生就是搏!

? 事务形貌

下面的屏幕截图是发明和视察的初始站点。域名“btappclientsvc.net”上托管的网站已于2019年5月30日注册。

尊龙凯时·(中国区)人生就是搏!

图1

网络垂纶站点专门设计为外交部（mail.mfa.gov.cn）的登录页面，可能是克隆了原始页面。与以下网站类似，并与此广告系列中标识的子域一致。网络垂纶网站似乎旨在窃取外交部（MFA）的电子邮件凭证。一旦用户输入他们的凭证，他们就会看到图2中的新闻。

尊龙凯时·(中国区)人生就是搏!

图2

图3显示了设计看起来像中国国家航空手艺收支口公司（CATIC）的垂纶网站。

尊龙凯时·(中国区)人生就是搏!

图3

图4为针对国家生长和刷新委员会（NDRC）的网络垂纶站点。

尊龙凯时·(中国区)人生就是搏!

图4

图5为针对中华民国商务部（MOFCOM）的网络垂纶网站，网络垂纶站点是通过 “tinyurl.com/y4nvpj56”重定向到URL webmail.mofcom.gov.cn.accountverify.validation8u2904.jsbchkufd546.nxjkgdgfhh345s.fghese4.ncdjkbfkjh244e.nckjdbcj86hty1.cdjcksdcuh57hgy43.njkd75894t5.njfg87543.kdjsdkj7564.jdchjsdy.rthfgyerty33. wangluojiumingjingli.org。

尊龙凯时·(中国区)人生就是搏!

图5

? 威胁基础设施剖析

在我们的剖析历程中，我们确定了6个域和40多个子域，模拟以下内容：四其中华民国（中华人民共和国）政府机构、六家国有企业、一家香港拍卖行、两个电子邮件服务提供商（网易公司和Gmail）。

值得注重的是，每个子域模拟都包括一个类似的命名结构，这可能体现此最新网络垂纶运动中涉及的威胁行为者或整体。命名的相似之处：

随机的字母和数字序列；

以恶意域名最后；

将一个或两个附加的“l”字符添加到单词“mail”中，例如“maill”或“mailll”；

使用目的的正当域名；

“帐户验证”和“验证”字样的变体。

下面先容每个恶意域的更多详细信息：

Domain 1 - btappclientsvc.net

域名btappclientsvc.net于2019年5月30日在注册商互联网域名服务BS公司注册到名为IceNetworks Ltd的注册人组织。注册时使用了隐私�；し�，以坚持注册人详细信息的私密性。凭证权限最先（SOA）纪录，此域与电子邮件地点报告@ orangewebsite .com相关联，后者又与冰岛网络托管，VPS和名为OrangeWebsite的专用服务器提供商相关联。

该域名位于冰岛IP地点82.221.129.17，并分派给该组织Advania Island ehf（AS50613）。

在已往的12个月中，视察到此IP被托管的垂纶网站伪装成各个部分的组织，包括：金融（巴克莱，瑞士信贷，Keytrade银行）、付款处置惩罚（PayPal）、加密钱币（Bittrex）。

托管域名btappclientsvc.net的服务器装置了Let's Encrypt-issued SSL / TLS证书（SN：308431922980607599428388630560406258271383），有用期为2019年7月30日至2019年10月28日，为期90天。凭证证书的主题备选计划名称（SAN），有四个差别的子域名，用于冒充两其中华人民共和国（PRC）政府机构和一个国有防务公司：

中国国家航空手艺收支口总公司（CATIC），国防工业国有企业，中华人民共和外洋交部（MFA），国家生长和刷新委员会，中华人民共和国国家发改委，国务院宏观经济治理机构。

下图体现为冒充中国组织而设置的诓骗性子域名，并使用这些子域名来提倡网络垂纶运动：

尊龙凯时·(中国区)人生就是搏!

Domain 2 - v3solutions4all.com

与第一个域类似，v3solutions4all.com也于2018年12月28日在注册商Internet域名服务BS公司注册，并与注册人组织Icenetworks Ltd.相关联。再次，SOA纪录显示使用相同的冰岛网络托管提供商OrangeWebsite和电子邮件地点报告@ orangewebsite.com。

域v3solutions4all.com剖析为基于冰岛的IP地点82.221.129.19（AS50613 - Advania Island ehf）。此域名和IP地点之前已与BITTER APT相关联，并基于360-CERT的报告，针对中国政府机构举行网络垂纶攻击。

托管域v3solutions4all.com的服务器装置了Let的加密宣布的SSL / TLS证书（SN：284039852848324733535582218696705431782795），有用期为2019年4月29日至2019年7月28日，为期90天。凭证证书的主题备选计划名称（SAN），有九个差别的子域名，用于冒充一其中国政府机构和两个国有的国防公司：

中华人民共和外洋交部（MFA），中国航空手艺收支口总公司（CATIC），中国电子收支口总公司（CEIEC）是一家国有企业，由中国中央政府向导，在国家清静和经济生长的要害领域开展国际相助。

以下代表为冒充中国企业并使用其提倡网络垂纶运动而设立的诓骗性子域名：

尊龙凯时·(中国区)人生就是搏!

Domain 3 - winmanagerservice.org

域名winmanagerservice .org于2019年2月20日在Registrar OnlineNIC Inc.注册，并与注册人组织International Widespread Services Limited相关联。域名可能是对Windows Service Manager的引用，Windows Service Manager是治理Windows服务各个方面的简单治理点;可是，现在还不清晰所选名称背后的主要性。

该域名于94.156.175.61（AS206776 - Histate Global Corp.），位于保加利亚索非亚，也是105个可疑域名的东道主。凭证域的SOA纪录，它与2019年2月22日至2019年5月13日的Gmail帐户techslogonserver {at} gmail . com相关联。此电子邮件与2016年在印度有地点的一个注册商相关联。域名服务器（NS）纪录标识它被分派给名称服务器dns11.warez-host.com和dns12.warez-host.com，它们也是用于可疑和恶意站点的服务器。

托管域名winmanagerservice.org的服务器装置了Let's Encrypt-issued SSL / TLS证书（SN：262081132907426754038710300383315550862850），有用期为2019年4月23日至2019年7月22日，为期90天。凭证证书的主题选择名称（SAN），建设了九个差别的子域来冒充五个奇异的中国组织：

中华人民共和外洋交部（MFA），中国航空手艺收支口总公司（CATIC），网易服务：126.com和163.com，保利拍卖香港有限公司，一间位于香港的拍卖行。

下图显示了诓骗性子域名，并用于装置网络垂纶运动：

尊龙凯时·(中国区)人生就是搏!

Domain 4 - winmanagerservice.net

域名winmanagerservice.net于2018年11月20日在Registrar NetEarth One Inc.注册，使用GDPR屏障来隐藏注册人的信息。在本报告宣布时，域未剖析为IP地点，可是，它分派给两个名称服务器：ns1.bitcoin-dns.com和ns2.bitcoin-dns.com。此服务器还可用作种种恶意运动的名称服务器，例如网络垂纶，恶意软件托管和分发以及梳理市肆。威胁行为者或整体建设的一个有趣的子域冒充国务院国有资产监视治理委员会（SASAC）：

maill.sasac.gov.cn.accountverify.validation8u6453.jsbch876452.nxjkgdg096574.fghe5392.ncdjkbfkj873e65.nckjdbcj86hty1.cdjcksdcuh57hgy43.njkd8766532.njfg73452.kdjsdkj7564.jdchjsdy.rthfgyert231.winmanagerservice.net

在剖析时，我们无法检索以SASAC为主题的网络垂纶页面，但确实找到了2018年11月20日在<hxxp：//www.winmanagerservice.net /上托管的开放目录的历史截图>包括一个CGI-bin文件夹。2018年恶意域名winmanagerservice.net的屏幕截图：

尊龙凯时·(中国区)人生就是搏!

对winmanagerservice.net的历史IP地点剖析搜索确定它从2018年11月20日到2019年2月22日剖析为基于美国的IP地点162.222.215 . 96（AS54020 - Admo.net LLC）。同样搜索发明了一个历史发件人政策框架（SPF）纪录，该纪录指定基于美国的IP地点162.222.215 . 2（AS 8100 QuadraNet Enterprises LLC）被授权代表winmanagerservice.net从12月10日最先发送电子邮件流量，2018年至2019年2月22日。

Domain 5 - cdaxpropsvc.net

域名cdaxpropsvc.net于2019年3月21日在Registrar OnlineNIC Inc.注册。它与注册人组织International Widespread Services Limited的阿联酋注册人IWS有限公司使用注册人电子邮件信息@iws.com。对此注册人电子邮件的反向Whois盘问发明了使用此地点建设的122个域，这些域可追溯到2014年6月8日以及最近的2019年8月1日。

该域名于94.156.175.61，位于保加利亚索非亚，也是105个可疑域名的东道主。凭证域的SOA纪录，它自2019年3月22日起与Gmail帐户techslogonserver@gmail.com相关联，并分派给名称服务器dns11.warez-host.com和dns12.warez-host.com。

凭证托管域cdaxpropsvc .net的服务器的历史SSL / TLS证书，我们发明12个子域模拟针对四个国防部分的国有企业和免费电子邮件服务提供商NetEase和Gmail。在剖析时，子域名没有主理网站;可是，凭证威胁加入者或群组的定位模式，很有可能建设它们来托管旨在窃取用户凭证的虚伪登录网络垂纶页面。

中国航空手艺收支口总公司（CATIC），中国长城工业总公司（CGWIC），中国政府授权提供商业发射服务，卫星系统和开展空间手艺相助的唯一商业组织，中国核工业集团公司（CNNC），一家生产和分销核电产品，谋划核情形工程建设，核军事开发和其他营业的国有企业，中国中原工程总公司（CZEC）承揽和建设国际核工程和土木匠程项目，网易公司服务163.com，Gmail。

以下代表为冒充这些组织而建设的诓骗性子域名，并用于提倡网络垂纶运动：

Domain 6 - wangluojiumingjingli.org

在视察IP地点82.221.129.18和域名wangluojiumingjingli.org时，我们发明针对中国政府组织的2个子域模拟：中华人民共和国商务部（MOFCOM）和航空工业公司中国（AVIC）。在剖析时，航空子域没有主理网站; 可是，基于威胁行为者或群组的定位模式，很可能它们是为了托管用于窃取用户凭证的虚伪登录网页仿冒页面而建设的。有一个针对商务部的诱骗网站的屏幕截图显示了一个虚伪的电子邮件登录页。

尊龙凯时·(中国区)人生就是搏!

其中三个域名托管在统一个托管服务提供商处;orangewebsite.com。该托管服务提供商位于冰岛，拥有特殊强盛的数字隐私协议，险些没有互联网审查。托管服务提供商也接受比特币作为支付方法，这很可能是它用于恶意目的的吸引力。

? 防护建议

1，迅速核查事务影响，将垂纶网站地点加入黑名单，阻断会见渠道；
2，实时修改电子邮件账户口令，避免信息泄露；
3，开展网络清静隐患排查和清静加固事情，提高清静提防能力；

4，发明网络攻击实时处置惩罚并报告。

? IOC

以下信息已更新至www.venuseye.com.cn平台。
325ece940de9fb486ef83b680ad00d385b64e435923d1bbc19cbcf33e220c2a2
5538badac0221b42f457920802b23ebd8ccf2c64b1fb827cd6458a7f9de2c6de
6a10a699f0ef084f5070968ae3cc35075990778bf82dca7e0477eeaebbee4eb1
7bc4f48a4345f4a47dabbf686a714d3e4c9af9d9f26e73ca873f54a4f164b732
823f85eb6d3465145bb34e570b870e39001c4ec61f7ca325f88a23edee75654f
940a1bd16be51cd264ee7e315841b8aa0b0b86d3392d4d08ca00151f01a5cd28
f456f2a2802242e1404ef9a586366820c4bd7f7f3b113209d56fc34dee2d75bf
82.221.129.17
82.221.129.18
82.221.129.19
94.156.175.61
btappclientsvc.net
cdaxpropsvc.net
mail.btappclientsvc.net
mail.v3solutions4all.com
mail.winmanagerservice.org
maill.126.com.cn.accountvalidation.vj65rfy785ru76.com.winmanagerservice.org
maill.163.com.accountvalidation.verifay768ht7u6h.com.cdaxpropsvc.net
maill.163.com.cn.accountvalidation.bh34567gh67.com.winmanagerservice.org
maill.catic.cn.accountvalidation.verifay.ysfts69887tgyu67tg6r.com.btappclientsvc.net
maill.catic.cn.accountvalidation.verifay783g677hui.com.cdaxpropsvc.net
maill.catic.cn.accountverify.validation567fg57f58g6.com.winmanagerservice.org
maill.catic.cn.accountverify.validation8u2745.v3solutions4all.com
maill.ceiec.cn.accountverify.validation7h8k97hnku0j.com.v3solutions4all.com
maill.cgwic.com.accountvalidation.verifay765hgy87.com.cdaxpropsvc.net
maill.cnnc.com.cn.accountvalidation.verifay2367bdg56.com.cdaxpropsvc.net
maill.czec.com.cn.accountvalidation.verifay728gh4dgy6378et6.com.cdaxpropsvc.net
maill.mfa.gov.cn.accountverify.validation8u77654.winmanagerservice.org
maill.mfa.gov.cn.accountverify.validation8u77654.winmanagerservice.org
maill.mfa.gov.cn.accountverify.validationgyy837rgyud2378rry.com.v3solutions4all.com
maill.ndrc.gov.cn.accountvalidation.verifay.vhj876uh786uy687.com.btappclientsvc.net
maill.polyauction.com.accountvalidation.security.jjh98iukhuj78.com.winmanagerservice.org
maill.sasac.gov.cn.accountverify.validation8u6453.jsbch876452.nxjkgdg096574.fghe5392.ncdjkbfkj873e65.nckjdbcj86hty1.cdjcksdcuh57hgy43.njkd8766532.njfg73452.kdjsdkj7564.jdchjsdy.rthfgyert231.winmanagerservice.net
mailll.mfa.gov.cn.accountvalidation.verifay.jk78huy688h67kjg7it8.com.btappclientsvc.net
techslogonserver@gmail.com
v3solutions4all.com
wangluojiumingjingli.org
webmail.avic.com.accountverify.validation8u7329.jsbchk82056.nxjkgdgf34523.fghe5103.ncdjkbfkjh5674e.nckjdbcj86hty1.cdjcksdcuh57hgy43.njkd75894t5.njfg87543.kdjsdkj7564.jdchjsdy.rthfgyerty86.wangluojiumingjingli.org
webmail.mofcom.gov.cn.accountverify.validation8u2904.jsbchkufd546.nxjkgdgfhh345s.fghese4.ncdjkbfkjh244e.nckjdbcj86hty1.cdjcksdcuh57hgy43.njkd75894t5.njfg87543.kdjsdkj7564.jdchjsdy.rthfgyerty33.wangluojiumingjingli.org
winmanagerservice.net
winmanagerservice.org

? 参考链接

https://www.anomali.com/blog/suspected-bitter-apt-continues-targeting-government-of-china-and-chinese-organ

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

Bitter针对中国政府和组织的垂纶攻击事务清静通告

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线