在即將到來的美國中期選舉前夕，諜影重現。9月中旬，微軟方面采取行動阻止了一項由俄羅斯APT組織Fancy Bear（APT28）發起的網絡釣魚攻擊，攻擊者的疑似目標為美國國際共和研究所（International Republican Institute，IRI）和哈德遜研究所(Hudson Institute)兩家智庫，這兩個機構都與美國共和黨有關，且對俄羅斯和普京持反對批評態度。微軟數字犯罪部門通過法院命令形式，用sinkhole技術及時控制屏蔽了由APT28創建的6個用于網絡釣魚攻擊的域名。本篇文章中，安全公司RiskIQ針對此次釣魚攻擊涉及的域名和對應網站進行了關聯分析，揭露了一些幕后線索和意圖，以下為RiskIQ的分析報告。
涉及域名
這6個域名為：
my-iri[.]org
senate[.]group
office365-onedrive[.]com
adfs-senate[.]email
adfs-senate[.]services
hudsonorg-my-sharepoint[.]com
以及其對應子域名：
adfs.senate[.]group
sharepoint.my-iri[.]org
mail.hudsonorg-my-sharepoint[.]com
mail.office365-onedrive.com
最終，這些域名都被屏蔽引流（sinkhole）到了隸屬微軟的控制IP地址157.56.161.162。
關于微軟發現這些域名的手段、攻擊者對這些域名的操控程度，以及這些域名是否在攻擊開始前就被屏蔽…..，公眾所知甚少。此前，我們已經看到針對美國民主黨人的各路網絡釣魚攻擊，最近一次是針對密蘇里州參議員 Claire McCaskill 的。你可以點此閱讀我們對該事件的技術分析。
現在，有了各種蛛絲馬跡和證據，可以清楚地體會到，俄羅斯政府意圖且一直在通過網絡釣魚攻擊、惡意軟件和社交媒體網絡虛假新聞來破壞西方民主體制，這一次，攻擊者利用的6個網絡釣魚域名被披露，本文中，我們就來深入分析這次網絡釣魚攻擊活動。
攻擊架構
我們通過RiskIQ數據庫，發現了與此次攻擊相關的一些攻擊架構線索，這些線索包括pDNS可查詢記錄和開放端口等。攻擊者通過Namecheap、Bacloud、Swiftway、Info-Tel、Frantech、GloboTech Communications、Public Domain Registry和MonoVM等不同主機商進行域名注冊使用，這些主機提供商都有一個共同點：接收比特幣作為域名注冊服務支付款。以下為我們發現攻擊者在不同主機提供商處注冊的域名情況：
Namecheap hosted：

Bacloud hosted：

Swiftway hosted：

Info-Tel hosted：

Frantech hosted：

GlobeTech hosted：

Public Domain Registry hosted：

MonoVM hosted：

以下為6個域名的解析數據情況：

我們注意到，有幾個域名和子域在某網絡架構中僅只出現了一天或更短的時間，這有點奇怪，可能是APT28組織發起攻擊后，為了避免其釣魚頁面被追蹤溯源而迅速禁用和轉移的跡象。然而，也有一些域名在同一網絡架構中長期出現，像 Namecheap 上的 ‘adfs-senate.services’ 和 Domain Registry 的 ‘adfs-senate.email’就將近活躍了一年，而且Namecheap還匯集了攻擊者的部署頁面，并把它們設置成吸引流量的自動跳轉頁面。
在當前微軟沒公布更多此次攻擊相關的細節之前，我們根據時間段對各個域名的的推測分析多少還是有一定推測性的，但是，由于這些主機提供商可以用比特幣支付方式來完成服務費結算，因此，在攻擊者部署釣魚網站的時候，這又為其行為增添了一些隱匿性。
根據美國特別顧問調查辦公室7月13日公開對幾名涉及對美大選干預的俄羅斯個人起訴書中可以看到，利用主機提供商接受比特幣支付的手段類似于之前俄羅斯的黑客行為，其中提到，“……在購買服務器、注冊域名和其它黑客活動動作時主要使用比特幣”，這些活動包括注冊域名、架設網站以及在特定網站公布泄露資料，如早前大選干預事件中的dcleaks[.]com。另外，這些域名的托管架構中也托管有VPN服務，這種行為特征與上述起訴書中概述的基本一致：