自2015年以来,一家在荷兰与罗马尼亚提供服务的小型web主机提供商成为了一系列目标明确的APT攻击的策源地。从2015年五月开始至今,通过溯源我们发现,有超过100起不同的网络攻击事件是从该供应商提供的服务器所发出的。Pawn Storm 组织使用其服务器对美国、欧洲、亚洲以及中东地区的政府机构发起了至少80起相当高调的攻击行为。这家虚拟专用主机(VPS)提供商在阿拉伯联合酋长国(以下简称UAE)的迪拜正式注册,但是从网上公布的帖子来看,很明显该公司的掌权者并不关心UAE的法律约束。实际上,Pawn Storm以及其他威胁分子使用该VPS提供商的服务器对UAE的政府机构进行过高度针对性的钓鱼攻击。其他威胁分子,比如DustSky(或称Gaza黑客)也时常在该VPS提供商的主机上部署鱼叉钓鱼攻击邮件所需要的C&C服务器。

 除了网络间谍与网络攻击外,这家VPS提供商也涉及了很多网络犯罪行为。在2014年度,在其主机上运行着声名狼藉的Carbanak银行木马的C&C服务器。在2015年,该主机提供商或多或少招引了许多垃圾邮件制造者入驻,因为支持人员在某个隐秘的论坛上说他们的服务器允许“从事邮件营销活动“,从字面上理解这并没有任意非法或者恶意的意思,但是,”邮件营销“通常是垃圾邮件制造者之间所说的行话,意为发送垃圾邮件。

 2015年,臭名昭著的恶意主机提供商Maxided成为该VPS提供商的一名顾客,从去年秋季开始,这家VPS提供商采用外部网关协议(BGP)路由手段来掩盖Maxided机构的IP地址位于他们阿姆斯特丹数据中心主机上的实情,2016年度,BGP路由手段再次用来掩盖其他恶意的活动。

 我们不止一次发现该VPS提供商将一小段IP段(CIDR)临时分配给俄罗斯或智利,有时只有几天的时间。虽然该做法看起来像是因为操作失误所造成的,但我们觉得这应该是某些我们没有注意到的其他恶意活动。事实上我们看到钓鱼网站、C&C服务器这一类电子犯罪所在的IP段数目剧烈增长,并且只活动一小段时间,很明显在有人报警时或者攻击活动结束之后,这些IP段都已经从路由表中移除了。后续同样的伎俩会不停上演—-同样的事情发生在另一些不同的IP段,并且没有留下任何记录。

 正如之前所提到的,该VPS公司的邮寄地址在迪拜,但是该公司的管理者公开宣称不用担心会触犯迪拜的法律。事实上,在2015年,Pawn Storm使用该VPS提供商的服务器多次对UAE政府与UAE军队设立的高针对性的钓鱼网站。

难以捉拿的人

 我们并不清楚该VPS提供商的幕后老板是谁,在公开的RIPE whois 数据库中我们找到一个名字,有人使用这个名字在论坛上回复那些该web主机公司有关的询问帖。但是我们并不知道这名字是真的还是假的。

有趣的顾客群体

 使用这家VPS提供商的顾客所从事网络攻击的方式很值得关注:Pawn Storm似乎就像用自家的产品一样,他们从2015年五月开始,已经使用这家VPS提供商发起了80多起攻击。他们的攻击利用到C&C服务器,溢出站点,鱼叉式钓鱼攻击,针对大众群体的免费web邮件钓鱼网站,针对政府机构比如保加利亚、希腊、马来西亚、黑山共和国、波兰、卡塔尔、罗马尼亚、沙特阿拉伯、土耳其、乌克兰以及阿拉伯酋长国等所特制的钓鱼网站.

 除了Pawn Storm以及,另一个稍微没那么复杂的威胁分子团伙—-DustySky,也在使用这家VPS提供商所提供的服务器,这些人将目标定为以色列、在以色列与埃及经商的公司、以及一些其他的中东政府机构。

 在2016年,垃圾邮件网络犯罪行为有所减少,这家VPS提供商也有一些正经的顾客,因而从严格意义来讲,该公司并非完全从事不合法活动,然而服务器的滥用行为仍然很多,而且APT攻击的数目惊人,因而在未来的几个月里,我们会持续注意该公司。

 荷兰拥有良好的网络连通性与稳定的主机提供商,这也是网络犯罪团伙与APT发动者喜欢使用荷兰的服务器的一个原因。而位于阿姆斯特丹的这家小型VPS提供商并不是吸引Pawn Storm与其他APT攻击者的唯一一家服务器商。  

 大约在一年以前,一家位于海牙市(荷兰中央政府所在地)的以防御DDOS而著名的主机公司重新宣称自己为一家”境外的“web主机公司,并在巴拿马与塞舌尔设立了一个服务点。Pawn Storm已经发现了这家公司,并且在它提供的服务器之上发起了一次对土耳其国营新闻社的钓鱼攻击。

 趋势科技™ Deep Discovery 使用带分析脚本的沙箱去检测、分析并对当今隐秘的、目标性明确的攻击行为作出实时响应。 趋势科技™ 智能安全防护套件  以及 趋势科技™ 无忧商业安全使用浏览器溢出防护特性以保护用户不受上述提到的攻击行为的威胁。 

下图所示为攻击行为从荷兰VPS的IP地址出发,至到达攻击目标的时间线: