欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

DarkHydrus使用Phishery在中东地区窃取凭证

来源:本站整理 作者:佚名 时间:2018-09-02 TAG: 我要投稿

在上周,Unit 42发表了一个篇关于介绍一个名为DarkHydrus的新威胁组织的博文,我们观察到该组织的目标是位于中东地区的政府实体。在这篇文章中,我们对通过鱼叉式网络钓鱼传播的被我们称之为RogueRobin的PowerShell payload进行了讨论。并且,我们还知道DarkHydrus在2018年6月实施了一次凭证窃取攻击。另外,这似乎还是一场仍在继续进行中的活动,因为我们有证据表明使用相同基础设施的凭证窃取尝试可以追溯到2018年秋季,而这些攻击所针对的目标均是位于中东地区的政府实体和教育机构。
凭据窃取攻击使用了包含恶意Microsoft Office文档的鱼叉式网络钓鱼电子邮件,这些文档利用“attachTemplate”技术从远程服务器加载模板。当尝试加载这个远程模板时,Microsoft Office将显示一个身份验证对话框,要求用户输入登录凭证。在输入之后,这些凭证将被发送到C2服务器,DarkHydrus便是通过这种方式来窃取用户帐户凭证的。
基于Unit 42的分析,DarkHydrus使用开源Phishery工具创建了两个用于凭证窃取攻击的Word文档。正如我们在之前的博文中所讨论的那样,这进一步突显了DarkHydrus对开源攻击工具的依赖。
像这样目的在于窃取凭证的网络钓鱼攻击并不是什么新鲜事:US-CERT 在2017年就曾发出警告,称有不同的威胁组织使用了与此类似的攻击技术。值得注意的是,DarkHydrus使用开源工具对这些实体进行有针对性的攻击,这与他们对开源工具的依赖相吻合,而这些攻击与我们上周报道的目标也一致。基于此,我们可以合理地推测,在不久的将在,该组织有极大可能会继续在中东地区针对此类目标发起攻击。
凭证窃取攻击
在2018年6月24日,Unit 42观察到DarkHydrus对位于中东地区的一个教育机构实施了凭证窃取攻击。在这起攻击中,涉及到一封以“Project Offer(项目邀请函)”为主题的鱼叉式网络钓鱼电子邮件以及一个恶意的Word文档附件(SHA256:d393349a4ad00902e3d415b622cf27987a0170a786ca3a1f991a521bff645318)。在打开恶意Word文档时,会显示一个验证对话框,要求用户输入凭证,如图1所示。

图1.在打开文档时向用户展示的“身份验证”对话框
如图1所示,在验证对话框上有这样一行文字“Connecting to . 0utl00k[.]net”,它实际上是DarkHydrus的一个C2服务器。如果用户在此对话框中输入了自己的凭证并按下“OK”按钮,凭证则将通过URL https://.0utl00k[.]net/download/template.docx发送​​到这个C2服务器。在验证对话框消失之后,Word文档将呈现它的内容。在我们展示的这个样本中,它的内容是空白的。
DarkHydrus在创建他们C2域时似乎也进行了仔细思考,试图进一步诱使目标用户输入他们的凭证。0utl00k[.]net域看上去非常像是微软提供免费电子邮件服务的合法“outlook.com”域,这种相似性更加不容易引起用户的怀疑,进而使他们更有可能输入自己的凭证。
我们利用0utl00k [.]net域找到了另外两个用于窃取凭证的Word文档,如表1所示。我们首次发现这两个文档的时间分别是在2017年9月和11月,这表明DarkHydrus几乎一直在进行这种凭证窃取活动。

表1.用于窃取凭证的另外两个Word文档
这两个文档都使用了attachmentTemplate技术,通过将凭证发送到URL https://0utl00k[.]net/docs来对其进行窃取。与2018年6月的文档不同,在凭证被窃取之后,这两个文档都呈现了与目标受害者相关的内容。其中,2017年9月的文档呈现的是一份员工调查表,如图2所示。

图2.凭证被窃取后显示的员工调查表
2017年11月的文档呈现的是一份密码移交表,如图3所示。我们没有能够在已公开的研究中找到相同的文档,这可能表明这份密码移交表是攻击者在其以前的活动中收集到的。

图3.凭证被窃取后显示的密码移交表
在这些凭证窃取攻击中使用的基础设施都使用了0utl00k [.]net域,在攻击中解析为107.175.150[.]113 and 195.154.41[.]150。在之前关于介绍这场活动的博文中,我们已经就对相同的基础架构进行了讨论。
Phishery工具
在分析了三个恶意Word文档之后,我们确定其中两个文档是使用名为Phishery的开源工具创建的。Phishery工具包含了以下功能:
1.通过注入远程模板URL来创建恶意Word文档;
2.在尝试获取远程模板时,托管的C2服务器会收集输入到身份验证对话框中的凭证。
我们能够确认的是,DarkHydrus的确使用了开源的Phishery来创建这些Word文档,并连接到自己的C2服务器。在2018年6月攻击中,DarkHydrus所使用的恶意Word文档就添加了一个远程模板URL,如图4所示。

图4.在2018年6月的文档中发现的远程模板URL
我们利用Phishery创建了一个用于测试的文档,并使用了图4中的远程模板URL。图5展示了这个过程,Phishery能够将这个URL注入到我们所创建的名为“good_test.docx”的文件中,我们将生成的文件保存为“bad_test.docx”。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载