亚信安全威胁情报中心近期在梳理安全事件时，发现一起钓鱼攻击活动。该起事件仿冒网易云邮箱进行钓鱼攻击，成功窃取到用户信息后将用户信息post到本地的”login.php”目录下保存，并跳转到正常网站。经分析，判断该行为符合绿斑APT组织攻击手法。

 谁是毒云藤APT组织？

毒云藤——又称绿斑（APT-C-01）、穷奇，主要通过利用互联网暴露的目标和资产作为攻击入口，采用精密社会工程学技术结合漏洞利用手段，通过精心设计的钓鱼邮件等社交工程手法侵入目标系统。

该组织从2007年开始至今，已对中国国防、政府、科技、教育以及海事机构等重点单位和部门进行了长达17年的网络间谍活动，攻击成功后将窃取目标的敏感信息和机密信息或下发木马。该组织擅长仿冒qq邮箱、126邮箱、网易云邮箱进行网络钓鱼，将钓取到的用户信息post到本地目录下进行保存，并下载无毒文件或跳转到正常网站。

钓鱼事件分析

钓鱼诱饵标题：中国知网——CNKI评审专家服务系统

攻击者语言使用习惯：中文简繁混用繁体为主

组件习惯：Apache，ubuntu，PHP

攻击习惯：仿站水坑钓鱼

钓鱼页面

钓鱼页面截图

输入用户信息后跳转到”b.html”,将账密信息post到本地的”login.php”,最后跳转到知网登录网站

发包截图

有趣的是，输入账号密码后跳转的是知乎登录网站，猜测攻击者在此处跳转没有做好。

跳转网站

域名p.cnkiserver.net及pcnki.com与真实域名p.cnki.net相似，极具迷惑性，结合诱饵文档、域名特征、域名注册商、拓线关联等特点，判断此次钓鱼目标为教育行业。

拓线

结合url特征拓线关联到历史域名：checked.link-163，该网站当前已失效。

拓线过程中发现该组织使用的其他域名log.p-cnki，该网站后续流程与上述文章中一致，此处不进行赘述。

根据已有数据，我们可以观测到本次攻击发起者域名注册规律存在相似性，注册者与注册地址一致，所以我们可以初步认定该注册信息可以作为威胁情报挖掘标准之一。拓现后如下：

拓线列表

事件总结&亚信安全建议

通过溯源分析发现，域名注册商为Name，通过拓线关联到历史域名，在往期钓鱼过程中通常以“合规承诺函20240626.docx”、“简历.doc”等为诱饵，通过网易云邮箱进行钓鱼。结合以上特征推断此次钓鱼攻击事件为绿斑。

绿斑组织专注于国防军工领域的APT攻击，在较长时期内表现出坚定而持续的攻击决心。相较于其他的apt组织，该组织的独特之处在于主要使用历史漏洞，资源相对匮乏，仅在极少数情况下使用0day漏洞。尽管如此，该组织在社会工程技巧方面展现出强大的能力，擅长通过邮件入口构造与收件人高度相关的内容，通过社会工程手法引导被攻击者打开相关链接或载荷，实施攻击。

亚信安全处置建议

• 全面部署安全产品，保持相关组件及时更新

• 保持系统以及常见软件更新，对高危漏洞及时修补

• 不要点击来源不明的邮件、附件以及邮件中包含的链接

• 请到正规网站下载程序

• 采用高强度的密码，避免使用弱口令密码，并定期更换密码

• 尽量关闭不必要的端口及网络共享

亚信安全产品解决方案

亚信安全威胁情报引擎已经全面赋能云安全、端点安全、APT高级威胁防护产品，请升级威胁情报特征库版本至2002.139，特征库更新日期20240725。亚信安全威胁情报中心海豚平台已能检测此次钓鱼事件，截图如下：

信舷防毒墙系统（AE）检测此次APT钓鱼事件示例。

信桅高级威胁监测系统（TDA）检测此次APT钓鱼事件示例。

亚信安全威胁情报中心

亚信安全威胁情报中心深耕威胁情报领域多年，具备国内一流的威胁情报分析、人工智能及大数据团队，依托公司国际基因与多元化数据来源优势，对全球威胁事件及时跟踪与深度解析。威胁情报中心聚焦实战化、场景化情报，以数据驱动威胁情报运营，使用Ai赋能威胁情报生产、运营全流程，在挖矿治理、网络钓鱼检测、黑客工具检测、勒索治理、勒索泄密点检测等方面处于国内领先地位。威胁情报中心首创威胁情报云端联动小时级响应机制，为客户提供“一点触达、全网免疫”的体验。