NETSCOUT威胁情报团队的安全专家发现了一项凭据收集活动LUCKY ELEPHANT，主要针对南亚政府。

该活动于2019年3月初被发现，LUCKY ELEPHANT背后的威胁行为者使用doppelganger 网页来模仿外国政府，电信和军队等合法机构。

这些攻击至少从2019年2月开始，黑客试图欺骗受害者提供登录凭据。攻击者使用各种顶级域名（TLD）注册了doppelgangers，特别是那些保护注册人匿名的域名。

根据专家的说法，威胁行为者开展了网络钓鱼行动，吸引受害者访问网站并提供凭据。在撰写本文时，研究人员未发现任何与LUCKY ELEPHANT活动相关的恶意软件。

被黑客模仿的机构名单包括巴基斯坦，孟加拉，斯里兰卡，马尔代夫，缅甸和尼泊尔的实体。

根据ASERT的分析，LUCKY ELEPHANT由印度APT小组发起。

这些目标是已知的印度APT行动的典型目标，而基础设施以前是由印度APT组织使用的。网络钓鱼和证件盗窃活动在印度针对区域内比较常见。

其中一个IP地址，128.127.105 [.] 13，之前被DoNot Team（又名APT-C-35）使用，这是一个印度APT组织。除了其他邻国外，DoNot团队还有大量针对巴基斯坦的历史行动。

专家们发现了两个活动的IP地址（128.127.105 [.] 13和179.43.169 [.] 20）参与了攻击，通过监测，研究人员发现了威胁行为者使用的新的doppelganger域名。

专家发表的主要调查结果如下：

· ASERT发现了LUCKY ELEPHANT的凭据盗窃活动，攻击者伪装成合法实体，如外国政府，电信和军队。

· doppelganger网页的主要目的是收集登录凭据;我们没有观察到与攻击活动相关的恶意软件有效载荷。

· LUCKY ELEPHANT活动中使用的一个IP地址以前被印度APT DoNot团队使用。

ASERT总结道，

LUCKY ELEPHANT背后的攻击者使用与合法网站几乎相同的分身网页的有效性，诱使用户输入凭据。目前还不清楚这个攻击行动在收集凭据时的效果和广泛程度，以及如何使用收集到的凭据。

然而，显而易见的是，攻击者正在积极建立基础设施，并且正在针对南亚的政府。

本文翻译自：https://securityaffairs.co/wordpress/82963/hacking/lucky-elephant-campaign.html  翻译作者：TRex  转载自：  https://www.4hou.com/info/news/17065.html