1. 簡介

自2025年初以來,一場精密的網路釣魚攻擊針對科威特的重要產業,包括漁業、電信和保險業。此行動利用超過230個網域,透過仿冒的登入頁面和支付閘道冒充合法實體。雖然該攻擊展現了進階策略,如品牌啟發的網域音譯(domain transliterations)和多租戶伺服器使用,但一個關鍵的運作安全失誤—— 重複使用SSH認証金鑰 ——讓研究人員得以關聯其基礎設施和運作範圍。本報告分析該攻擊的技術基礎,聚焦於基礎設施重疊(infrastructure overlaps)、SSH金鑰重複使用及偵測方法。

跨產業釣魚攻擊:SSH金鑰重用之基礎設施剖析 | 資訊安全新聞

2. 基礎設施架構與運作模式

2.1 託管基礎設施與ASN Clustering

該攻擊的基礎設施集中在 Aeza International Ltd的網路(AS210644) ,這是一家低成本VPS提供商。三個主要IP位址—— 78.153.136[.]29 134.124.92[.]70 138.124.78[.]35 ——同時託管了超過100個釣魚網域,展現多租戶伺服器行為。例如:

  • 138.124.92[.]70 解析了40個針對科威特國家漁業公司、保險業者和Zain電信的網域。
  • 伺服器跨產業部署網域(例如,漁業的 alwattnya[.]com 和電信的 zain-kw[.]pro ),以最大化效率。

多租戶伺服器架構 : 

[Phishing Domains]
├── Fisheries (e.g., alwattnya[.]com)
├── Telecom (e.g., zain-kw[.]pro)
└── Insurance (e.g., tamcar[.]pro)
           │
           └── Hosted on shared IPs (e.g., 138.124.92[.]70)
                │
                └── Managed via reused SSH keys

2.2 SSH金鑰重複使用作為關鍵Fingerprint

攻擊者在伺服器間重複使用了兩個 SSH RSA key fingerprints

  1. dbe1065a0caaa2d1d89001b505ac1a00c5aee6202225b9897580c3c148ea2537
  2. 000e6797a0d6571bf2b4e77f86b1e68c61d23f0369b6a5e96682a9d84b4cbef9

這讓研究人員得以將另外8個IP位址(例如, 89.208.97[.]251 91.108.240[.]137 )與該攻擊聯繫起來。SSH金鑰重複使用顯示出集中式管理模式,運營者優先考慮運作速度而非安全衛生(security hygiene),無意中創造了可偵測的模式。

HuntSQL查詢用於SSH金鑰偵測 

  1. SELECT ip, port
  2. FROM ssh
  3. WHERE rsa_sha256 IN (
  4.   'dbe1065a0caaa2d1d89001b505ac1a00c5aee6202225b9897580c3c148ea2537',
  5.   '000e6797a0d6571bf2b4e77f86b1e68c61d23f0369b6a5e96682a9d84b4cbef9'
  6. )
  7. GROUP BY ip, port

此查詢識別出使用受損金鑰的伺服器,使防禦者能主動封鎖相關IP。

3. 網路釣魚手法分析

3.1 網域策略:音譯而非錯字冒充(Typosquatting)

與傳統的錯字冒充不同,攻擊者註冊了 品牌啟發的網域 ,使用音譯(例如, alwattnya[.]com 冒充國家漁業公司的合法網域 nfcq8[.]com )。此技術規避了簡單的詞彙偵測,並增加了受害者的辨識難度。

網域模式範例

  • 漁業: dalmon-bh[.]com (冒充巴林的Delmon Fish)。
  • 電信: zain-kw[.]pro (模擬Zain的支付入口)。
  • 保險: syarati[.]pro (假冒科威特汽車保險公司Saiyarti)。

3.2 行動支付誘惑與SIM卡交換風險

zain-kw[.]pro 網域託管了一個偽造的行動支付入口,複製了Zain的結帳流程。該頁面以折扣支付為由,誘導使用者輸入電話號碼。蒐集到的號碼可能被用於 SIM卡交換攻擊 或帳戶接管,特別是在依賴SMS雙重認証的地區尤其危險。

Zain-KW支付入口流程: 

1. Victim receives SMS with link to "discounted payment."
2. Redirect to `zain-kw[.]pro` mimicking Zain's UI.
3. Input fields capture:
   - Phone number
   - Payment card details
4. Data exfiltrated to attacker-controlled server.

4. 偵測與緩解策略

4.1 SSH金鑰與ASN監控

  • SSH Key Fingerprinting :組織應掃描兩個已識別的SHA256 fingerprints並封鎖相關IP。
  • ASN查詢 :Hunt.io建議查詢Aeza的AS210644以發現可疑活動: 
  1. SELECT ip, hostname, malware.name
  2. FROM malware
  3. WHERE asn.number = '210644'
  4. GROUP BY ip, hostname, malware.name

4.2 網域模式分析

防禦者應標記使用以下特徵的網域:

  • 音譯 (例如,"alwattnya"相對於"National Fishing Company")。
  • 通用品牌參考 (例如,"watanyafish[.]com")。

4.3 增強認証實務

金融機構應逐步淘汰SMS雙重認証,改用 認証應用程式 FIDO2金鑰 ,以降低電話號碼被蒐集的風險。

5. 結論

這場攻擊突顯了現代網路釣魚行動的雙重性質:精密的社交工程與SSH金鑰重複使用等運作疏忽並存。雖然攻擊者在網域策略和跨產業目標上展現了適應性,但其對集中式基礎設施管理的依賴為防禦者留下了關鍵的fingerprints。主動監控SSH金鑰、ASN模式和音譯網域對於預先打擊此類行動至關重要。

參考資料

  1. Shared SSH Keys Expose Coordinated Phishing Campaign Targeting Kuwaiti Fisheries and Telecom Sectors
Copyright © 2025 版權所有 翊天科技有限公司