在即将到来的美国中期选举前夕，谍影重现。9月中旬，微软方面采取行动阻止了一项由俄罗斯APT组织Fancy Bear（APT28）发起的网络钓鱼攻击，攻击者的疑似目标为美国国际共和研究所（International Republican Institute，IRI）和哈德逊研究所(Hudson Institute)两家智库，这两个机构都与美国共和党有关，且对俄罗斯和普京持反对批评态度。微软数字犯罪部门通过法院命令形式，用sinkhole技术及时控制屏蔽了由APT28创建的6个用于网络钓鱼攻击的域名。本篇文章中，安全公司RiskIQ针对此次钓鱼攻击涉及的域名和对应网站进行了关联分析，揭露了一些幕后线索和意图，以下为RiskIQ的分析报告。
涉及域名
这6个域名为：
my-iri[.]org
senate[.]group
office365-onedrive[.]com
adfs-senate[.]email
adfs-senate[.]services
hudsonorg-my-sharepoint[.]com
以及其对应子域名：
adfs.senate[.]group
sharepoint.my-iri[.]org
mail.hudsonorg-my-sharepoint[.]com
mail.office365-onedrive.com
最终，这些域名都被屏蔽引流（sinkhole）到了隶属微软的控制IP地址157.56.161.162。
关于微软发现这些域名的手段、攻击者对这些域名的操控程度，以及这些域名是否在攻击开始前就被屏蔽…..，公众所知甚少。此前，我们已经看到针对美国民主党人的各路网络钓鱼攻击，最近一次是针对密苏里州参议员 Claire McCaskill 的。你可以点此阅读我们对该事件的技术分析。
现在，有了各种蛛丝马迹和证据，可以清楚地体会到，俄罗斯政府意图且一直在通过网络钓鱼攻击、恶意软件和社交媒体网络虚假新闻来破坏西方民主体制，这一次，攻击者利用的6个网络钓鱼域名被披露，本文中，我们就来深入分析这次网络钓鱼攻击活动。
攻击架构
我们通过RiskIQ数据库，发现了与此次攻击相关的一些攻击架构线索，这些线索包括pDNS可查询记录和开放端口等。攻击者通过Namecheap、Bacloud、Swiftway、Info-Tel、Frantech、GloboTech Communications、Public Domain Registry和MonoVM等不同主机商进行域名注册使用，这些主机提供商都有一个共同点：接收比特币作为域名注册服务支付款。以下为我们发现攻击者在不同主机提供商处注册的域名情况：
Namecheap hosted：

Bacloud hosted：

Swiftway hosted：

Info-Tel hosted：

Frantech hosted：

GlobeTech hosted：

Public Domain Registry hosted：

MonoVM hosted：

以下为6个域名的解析数据情况：

我们注意到，有几个域名和子域在某网络架构中仅只出现了一天或更短的时间，这有点奇怪，可能是APT28组织发起攻击后，为了避免其钓鱼页面被追踪溯源而迅速禁用和转移的迹象。然而，也有一些域名在同一网络架构中长期出现，像 Namecheap 上的 ‘adfs-senate.services’ 和 Domain Registry 的 ‘adfs-senate.email’就将近活跃了一年，而且Namecheap还汇集了攻击者的部署页面，并把它们设置成吸引流量的自动跳转页面。
在当前微软没公布更多此次攻击相关的细节之前，我们根据时间段对各个域名的的推测分析多少还是有一定推测性的，但是，由于这些主机提供商可以用比特币支付方式来完成服务费结算，因此，在攻击者部署钓鱼网站的时候，这又为其行为增添了一些隐匿性。
根据美国特别顾问调查办公室7月13日公开对几名涉及对美大选干预的俄罗斯个人起诉书中可以看到，利用主机提供商接受比特币支付的手段类似于之前俄罗斯的黑客行为，其中提到，“……在购买服务器、注册域名和其它黑客活动动作时主要使用比特币”，这些活动包括注册域名、架设网站以及在特定网站公布泄露资料，如早前大选干预事件中的dcleaks[.]com。另外，这些域名的托管架构中也托管有VPN服务，这种行为特征与上述起诉书中概述的基本一致：