在一份新发布的威胁情报报告中,Hunt.io研究人员详细介绍了针对科威特关键部门的积极和复杂的网络钓鱼活动,包括渔业,电信和保险。该行动于2025年初首次确定,目前正在进行,并雇用了230多个域名来欺骗用户并收集敏感凭据。

攻击者将大部分基础设施部署在由Aeza International Ltd托管的服务器上,Aeza International Ltd是一家托管提供商,通常与低成本虚拟专用服务器(VPS)相关联。跨IP地址,如78.153.136[。29, 134.124.92[.]70, 和 138.124.78[.]35,Hunt.io观察到多租户网络钓鱼门户网站模仿科威特知名品牌。

“操作重叠 – 包括共享的SSH身份验证密钥和常见的ASN使用 – 将这些资产连接在一起,使相关服务器能够在整个活动中识别,”报告指出。

值得注意的是,网络钓鱼资产通常通过重复使用的SSH密钥指纹进行链接,Hunt.io分析师用于跟踪基础设施扩展和域集群。

该活动最具欺骗性的技术之一涉及注册域名的域名 – 不是通过打字等字形,而是通过音译和通用参考。例子包括:

alwattnya[.]com(英语:alwattnya)wtanaya[.]com(英语:wtanaya[.]dalmonfishs [.]com 登录 注册zain-kw[.]pro

这些域名密切模仿科威特国家渔业公司等合法网站,展示带有产品列表和购物车的假店面以吸引受害者。

“观察到的网页密切复制了该公司在线店面的外观,显示海鲜产品列表,购物车功能和促销活动,”报告指出。

袭击者没有停止在渔业。Hunt.io找到了旨在网络钓鱼的页面,Zain是一家领先的科威特电信提供商。例如,zain-kw[.]pro伪装成移动支付页面,要求用户输入电话号码并完成虚假交易。

此举引发了进一步的担忧,因为收集的电话号码可用于SIM卡交换,下游网络钓鱼或涉及移动身份验证的帐户接管。

基础设施不仅限于科威特。其中一个链接的服务器(89.208.97[.]251)phishing被抓到托管网络钓鱼网站欺骗德尔蒙鱼,一个著名的巴林渔业。像dalmon-bh[.]com这样的域名遵循相同的冒充剧本。

“这些资产共同构成了一个有凝聚力的运营集群,phishing指向海湾地区行业的集中管理和持续的网络钓鱼分期,”报告警告说。