简介
年3月,埃及曾发生过针对当地记者和人权人士的网络攻击事件。攻击者没有依靠传统的网络钓鱼方法或窃取凭据的恶意工具,而是利用了一种更隐蔽,更有效的方式来访问受害者的收件箱——这种方法被称为“OAuth网络钓鱼”技术,简单来说是通过滥用第三方应用程序来使用Gmail或Outlook等邮件服务,进而获得对邮箱的完全访问权限。
图1:过去的OAuth网络钓鱼活动
最近,Checkpoint发现了此次行动中未公开过的一些恶意构成,其钓鱼途径多样且隐蔽,甚至包括了在GooglePlayStore中上架的恶意应用。
早期构架
攻击者伪造了多个网站,使用了“邮件”、“安全”或“验证”之类的诸多词来试图伪装成合法的服务网站。
对每个网站的可视化显示了它们之间的关联性,比如都是使用NameCheap注册、具有HTTPS证书、许多都解析为相同的IP地址。
这些地址共享相同的IPv4范围或网络块(..[.]0/22),属于一家名为MAROSNET的俄罗斯电信公司。
图2:活动基础结构的可视化
虽然现在无法访问这些网站,但是通过其中一些网站的公开扫描可以看到,除了与OAuth网络钓鱼有关之外,它们还托管了伪Outlook/Facebook页面,以试图窃取用户的登录凭证:
图3:Outlook仿冒页面示例
假冒页面会访问名为“Tarsotelvab”的帐户的Github存储库,检索其使用的CSS文件。“Tarsotelvab”主要活跃于年,共有五个存储库:
图4:Tarsotelvab在GitHub上的存储库
其中一个存储库的CSS文件涉及到卡塔尔航空、半岛电视台和一家名为AlArab的卡塔尔报纸,可能是模拟这些网站进行单独的网络钓鱼活动,但目前没有发现此类攻击。
不过可以肯定的是,以前的钓鱼攻击和OAuth钓鱼攻击都使用了相同的构架,而且到现在仍被攻击者使用。
构架2.0
许多新注册且不相关的域都解析为与此活动有关的相同IP,寻找相关指标也并非易事,但是通过搜索命名规则类似、地址中有“邮件”或“验证”字样的域名,能帮助我们进行过滤。
其中一个域maillogin[.]live,有一个开放的目录,在5月和6月期间上传了文件,可以下载和查看其所有后端脚本:
图5:maillogin[.]live上的index目录
目录里包含了许多PHP脚本、API客户机、SQL文件和配置文件,对它们的研究能揭示其内部工作方式,在这个服务器上实现的功能以及其他可能实现的功能,还有关于幕后犯罪者的一些信息。比如控制操作由攻击者向一个PHP脚本发送命令来实现,该脚本还允许攻击者查询服务器上存储的数据,它还具有自毁功能,例如中止行动或删除从受害者那里收集的所有信息:
图6:删除函数
为了防止一些外来访问,脚本将对接收到的请求总数进行计数,如果数字超过30,则会发送邮件到地址“devd.logaana
gmail[.]
转载请注明:http://www.mashaladicar.com/xzqh/5274.html
当前位置: 埃及 > 行政区划 > 尼罗河之眼多途径监控埃及重要人物的网络间
