APT-C-08
蔓灵花
APT-C-08(蔓灵花)是一个拥有南亚地区政府背景的APT组织,近几年来持续对南亚周边国家进行APT攻击,攻击目标涉及政府、军工、高校和驻外机构等企事业单位组织。
我们监测到多起由蔓灵花组织发起的,模仿邮箱附件下载站点的钓鱼攻击事件。在此类攻击事件中,蔓灵花组织一如既往地在钓鱼获取目标用户凭证上努力改进,在2023年的攻击活动中我们首次发现该组织利用在线IDE平台Replit进行钓鱼网站的搭建。
2023年蔓灵花组织的鱼叉式攻击活动与其流程没有发生大的变化,主要如下图所示:
攻击活动流程
Replit是一个在线IDE平台,为开发者提供了多种语言的在线开发环境并能实现Web类环境的快速搭建,蔓灵花组织正是利用了该平台的这种特性,在2023年的几次攻击活动中利用该平台搭建PHP环境实现了钓鱼网站“后端”功能。
该组织伪造其惯用的163邮箱的附件下载页面,诱导目标用户点击下载并输入邮箱凭证来实现盗取凭证的目的。
将用户凭证提交至该上述Replit平台搭建的服务端并记录。
在该平台中我们可以看到所记录的凭证内容和功能实现所用的代码,并提供了诱饵文件的下发功能。
going.php
第一个php文件再次跳转至一个html文件与第一步中所描述的诱饵网站相同,不同的是表单提交的地址变为secondgoing.php,具备相同的功能,下发的诱饵文件名与两次html中展示的附件名均不相同,这也能看出攻击者不够严谨。
index2.html
Secondgoning.php
网站目录结构
记录攻击成果格式
来自南亚的组织近年来一直在其钓鱼手法上不断变化,其利用公共平台特性进行钓鱼活动并不是首次发现,从历史活动看该组织曾利用GitHub的github-pages搭建钓鱼网站,而本次攻击活动利用Replit平台是首次被发现;后续步骤中所利用的netlify.app等第三方网页服务与我们在此前在《季风行动[1]》中所披露的并未发生变化;此外巧合的是在本次攻击活动中我们发现攻击活动依旧是集中在2023年7-9月之间。
本次活动活跃度
《季风行动》中活跃度
总结
蔓灵花组织钓鱼活动已经持续活跃多年,并在不断的改进变化,可见该低成本、高成功率的攻击方式深受该组织的喜爱,于我们而言面对鱼叉攻击类活动需要不断提高我们的安全意识;在发现该组织利用GitHub平台搭建钓鱼网站后,再次发现其利用Replit平台搭建钓鱼网站,可见利用公共托管类平台来隐藏自己网络资产在APT的攻击活动中已呈现递增趋势, 因此在面对来自公共平台的资源链接等时仍需确认安全性,谨防攻击活动利用。
参考链接
[1] 季风行动 - 蔓灵花(APT-C-08)组织大规模钓鱼攻击活动披露
360****高级威胁研究院
360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。