近日,亞信科技安全威脅情報中心在整理安全事件時發現了一起網路釣魚攻擊事件。 在此次事件中,126個郵箱被偽造進行釣魚攻擊,成功竊取使用者資訊後,將使用者資訊發布到本地“QQ”。php“目錄並跳轉到 normal**。 經過分析,判斷該行為符合Green Spot APT組織的攻擊方式。
Green Spot,又稱Poison Cloud Ivy(APT-C-01)和Poor Odd,主要以網際網絡暴露的目標和資產為攻擊入口,利用精準的社會工程技術結合漏洞利用,通過精心設計的釣魚郵件等社會工程手段入侵目標系統。
自2024年以來,該組織已對國防、科技、教育、海事等重點單位和部門開展了長達11年的網路間諜活動,攻擊成功後將竊取目標的敏感機密資訊或發出特洛伊木馬。 該組織擅長釣魚假QQ郵箱和126郵箱,將釣魚使用者資訊發布到本地目錄儲存,並**無毒檔案或跳轉正常**。
網路釣魚誘餌標題:國家查詢系統。
網路釣魚鏈結: http: 64[.]]17*[.16*[.89
圖25 網路釣魚頁面截圖
網頁中的正體中文:
圖26 Web 原始碼]。
輸入使用者資訊後,轉到“b.”。html“,並將賬號資訊發布到本地”qq”。php“,最後跳轉到正常**”。
圖27 拿起袋子]。
圖28 頁面跳轉
通過溯源分析發現,網頁原始碼中有正體中文,為台灣獨有,網域名稱註冊商為namecheap。 結合以上特徵,推斷釣魚攻擊事件為綠點。
綠點組織專注於國防和軍事工業領域的APT攻擊,並表現出了長期攻擊的堅定和持續的決心。 與其他 APT 組織相比,該組織的獨特之處在於它主要使用歷史漏洞,資源相對較少,在極少數情況下只使用 0 天漏洞。 儘管如此,該組織在社會工程技術方面表現出了很強的能力,專門通過電子郵件門戶構建與收件人高度相關的內容,並使用社會工程技術引導攻擊者開啟相關鏈結或有效載荷進行攻擊。
searchsystem***com
全面部署安全產品,並使相關元件保持最新狀態。
保持系統和常用軟體的更新,及時修補高危漏洞。
不要點選郵件中包含的未經請求的訊息、附件和鏈結。
請轉到常規 *** 程式。
使用強密碼,避免使用弱密碼,並定期更改密碼。
盡可能關閉不必要的埠和網路共享。
亞信安全威脅情報引擎全面賦能雲安全、端點安全、APT高階威脅防護產品,請將威脅情報特徵庫版本公升級至2002089,特徵資料庫20231225更新日期。
ImmunityOne 中的 AsiaInfo DetectionSpot APT 網路釣魚事件示例。
亞信科技的下一代端點安全 (TrustOne) 檢測綠點 APT 網路釣魚事件的示例。
亞信科技 APT 高階威脅防護產品 (NGTDA 7.)0) 檢測綠點 APT 網路釣魚事件的示例。
亞信科技安全威脅情報中心深耕威脅情報領域多年,擁有國內一流的威脅情報分析、人工智慧和大資料團隊,依託公司國際化的基因和多元化的資料優勢,及時跟蹤和深入分析全球威脅事件。 威脅情報中心聚焦實戰和場景化情報,以資料驅動威脅情報行動,利用AI賦能威脅情報生產運營全流程,在礦業治理、釣魚檢測、黑客工具檢測、勒索病毒治理、勒索病毒洩漏點檢測等方面處於國內領先地位。 威脅情報中心首創威脅情報雲聯動的小時級響應機制,為客戶提供“單點觸達,全網免疫”的體驗。