在即將到來(lái)的美國(guó)中期選舉前夕，諜影重現(xiàn)。9月中旬，微軟方面采取行動(dòng)阻止了一項(xiàng)由俄羅斯APT組織Fancy Bear（APT28）發(fā)起的網(wǎng)絡(luò)釣魚(yú)攻擊，攻擊者的疑似目標(biāo)為美國(guó)國(guó)際共和研究所（International Republican Institute，IRI）和哈德遜研究所(Hudson Institute)兩家智庫(kù)，這兩個(gè)機(jī)構(gòu)都與美國(guó)共和黨有關(guān)，且對(duì)俄羅斯和普京持反對(duì)批評(píng)態(tài)度。微軟數(shù)字犯罪部門(mén)通過(guò)法院命令形式，用sinkhole技術(shù)及時(shí)控制屏蔽了由APT28創(chuàng)建的6個(gè)用于網(wǎng)絡(luò)釣魚(yú)攻擊的域名。本篇文章中，安全公司RiskIQ針對(duì)此次釣魚(yú)攻擊涉及的域名和對(duì)應(yīng)網(wǎng)站進(jìn)行了關(guān)聯(lián)分析，揭露了一些幕后線索和意圖，以下為RiskIQ的分析報(bào)告。
涉及域名
這6個(gè)域名為：
my-iri[.]org
senate[.]group
office365-onedrive[.]com
adfs-senate[.]email
adfs-senate[.]services
hudsonorg-my-sharepoint[.]com
以及其對(duì)應(yīng)子域名：
adfs.senate[.]group
sharepoint.my-iri[.]org
mail.hudsonorg-my-sharepoint[.]com
mail.office365-onedrive.com
最終，這些域名都被屏蔽引流（sinkhole）到了隸屬微軟的控制IP地址157.56.161.162。
關(guān)于微軟發(fā)現(xiàn)這些域名的手段、攻擊者對(duì)這些域名的操控程度，以及這些域名是否在攻擊開(kāi)始前就被屏蔽…..，公眾所知甚少。此前，我們已經(jīng)看到針對(duì)美國(guó)民主黨人的各路網(wǎng)絡(luò)釣魚(yú)攻擊，最近一次是針對(duì)密蘇里州參議員 Claire McCaskill 的。你可以點(diǎn)此閱讀我們對(duì)該事件的技術(shù)分析。
現(xiàn)在，有了各種蛛絲馬跡和證據(jù)，可以清楚地體會(huì)到，俄羅斯政府意圖且一直在通過(guò)網(wǎng)絡(luò)釣魚(yú)攻擊、惡意軟件和社交媒體網(wǎng)絡(luò)虛假新聞來(lái)破壞西方民主體制，這一次，攻擊者利用的6個(gè)網(wǎng)絡(luò)釣魚(yú)域名被披露，本文中，我們就來(lái)深入分析這次網(wǎng)絡(luò)釣魚(yú)攻擊活動(dòng)。
攻擊架構(gòu)
我們通過(guò)RiskIQ數(shù)據(jù)庫(kù)，發(fā)現(xiàn)了與此次攻擊相關(guān)的一些攻擊架構(gòu)線索，這些線索包括pDNS可查詢記錄和開(kāi)放端口等。攻擊者通過(guò)Namecheap、Bacloud、Swiftway、Info-Tel、Frantech、GloboTech Communications、Public Domain Registry和MonoVM等不同主機(jī)商進(jìn)行域名注冊(cè)使用，這些主機(jī)提供商都有一個(gè)共同點(diǎn)：接收比特幣作為域名注冊(cè)服務(wù)支付款。以下為我們發(fā)現(xiàn)攻擊者在不同主機(jī)提供商處注冊(cè)的域名情況：
Namecheap hosted：

Bacloud hosted：

Swiftway hosted：

Info-Tel hosted：

Frantech hosted：

GlobeTech hosted：

Public Domain Registry hosted：

MonoVM hosted：

以下為6個(gè)域名的解析數(shù)據(jù)情況：

我們注意到，有幾個(gè)域名和子域在某網(wǎng)絡(luò)架構(gòu)中僅只出現(xiàn)了一天或更短的時(shí)間，這有點(diǎn)奇怪，可能是APT28組織發(fā)起攻擊后，為了避免其釣魚(yú)頁(yè)面被追蹤溯源而迅速禁用和轉(zhuǎn)移的跡象。然而，也有一些域名在同一網(wǎng)絡(luò)架構(gòu)中長(zhǎng)期出現(xiàn)，像 Namecheap 上的 ‘adfs-senate.services’ 和 Domain Registry 的 ‘adfs-senate.email’就將近活躍了一年，而且Namecheap還匯集了攻擊者的部署頁(yè)面，并把它們?cè)O(shè)置成吸引流量的自動(dòng)跳轉(zhuǎn)頁(yè)面。
在當(dāng)前微軟沒(méi)公布更多此次攻擊相關(guān)的細(xì)節(jié)之前，我們根據(jù)時(shí)間段對(duì)各個(gè)域名的的推測(cè)分析多少還是有一定推測(cè)性的，但是，由于這些主機(jī)提供商可以用比特幣支付方式來(lái)完成服務(wù)費(fèi)結(jié)算，因此，在攻擊者部署釣魚(yú)網(wǎng)站的時(shí)候，這又為其行為增添了一些隱匿性。
根據(jù)美國(guó)特別顧問(wèn)調(diào)查辦公室7月13日公開(kāi)對(duì)幾名涉及對(duì)美大選干預(yù)的俄羅斯個(gè)人起訴書(shū)中可以看到，利用主機(jī)提供商接受比特幣支付的手段類似于之前俄羅斯的黑客行為，其中提到，“……在購(gòu)買(mǎi)服務(wù)器、注冊(cè)域名和其它黑客活動(dòng)動(dòng)作時(shí)主要使用比特幣”，這些活動(dòng)包括注冊(cè)域名、架設(shè)網(wǎng)站以及在特定網(wǎng)站公布泄露資料，如早前大選干預(yù)事件中的dcleaks[.]com。另外，這些域名的托管架構(gòu)中也托管有VPN服務(wù)，這種行為特征與上述起訴書(shū)中概述的基本一致：