导语:研究人员发现一起使用powershell恶意软件攻击中东地区的攻击活动,攻击对象是中东的政府和教育机构,Unit 42的研究人员将攻击活动命名为DarkHydrus。

窃取身份凭证

6月24日,研究人员发现DarkHydrus对中东的教育机构发起身份凭证窃取攻击。攻击中使用了主题为“project offer”的鱼叉式钓鱼攻击邮件和恶意word附件(SHA256: d393349a4ad00902e3d415b622cf27987a0170a786ca3a1f991a521bff645318)。打开附件时,会出现一个对话框要求用户输入身份凭证,如图1所示。

图片.png

图1 展示给用户的认证对话框

如图1所示,认证弹窗的内容为“Connecting to <redacted>. 0utl00k[.]net”,如果用户输入了身份凭证,点击ok后,输入的身份凭证就会通过URL https://<redacted>.0utl00k[.]net/download/template.docx发送给C2服务器。关闭认证弹窗后,看到word中的内容是一个空文档。因为是空的,所以目标用户为了看到word中的内容输入身份凭证的概率就更大一些。

DarkHydrus在欺骗域名的选择上也非常细心,也是为了尽可能的让用户输入凭证。首先,子域名是目标教育机构的域名,0utl00k[.]net是模仿outlook.com,这都是为了取得用户信任,减少怀疑。一些用户甚至没有注意弹框中的域名就习惯性的输入Windows身份凭证了。

研究人员还找到两个使用0utl00k[.]net域名来窃取用户身份凭证的word文档,如表1所示。这两个word的日期是2017年9月和11月,这说明DarkHydrus窃取身份凭证的活动已经活动1年时间了。

1.png

表1 DarkHydrus使用的其他Word文档

相关的文档都使用attachedTemplate技术发送文件到URL https://0utl00k[.]net/docs来窃取用户凭证。2018年6月文档在得到身份凭证后并不会展示内容,而这两个样本文档都会展示与目标组织相关的内容。2017年9月的样本文档展示的雇员调查问卷,如图2。

图片.png

图2 凭证窃取后显示的雇员调查问卷

2017年11月的文档显示的身份凭证被窃取后的密码切换文档,如图3所示。研究人员没有通过搜索没有找到文档展示的相关内容,这应该是攻击者从之前的攻击活动中收集的密码。

图片.png

图3 展示的密码切换文档

身份凭证窃取攻击中使用的域名0utl00k[.]net,解析的IP地址是107.175.150[.]113和195.154.41[.]150。

Phishery 工具

研究人员在分析这三个word文档时发现其中两个是用开源工具Phishery制作的。Phishery可以:

· 通过注入远程模板URL来创建恶意文档;

· 在尝试获取远程模板时,在C2服务器上收集用户在认证对话框中输入的身份凭证;

可以确认的是DarkHydrus使用Phishery来创建钓鱼文档,2018年6月攻击中使用的word文档中就有远程模板URL地址,如图4所示。

图片.png

图4 DarkHydrus文档中添加的远程模板URL

复制图4中的远程目标路径,然后使用Phishery工具就可以创建一个武器化的传播文档。图5是Phishery命令向good_test.docx文档中注入一个URL然后生成了bad_test.docx。

图片.png

图5 用于创建攻击文档的Phishery命令

为了确认,研究人员用Phishery的C2服务器打开了DarkHydrus 6月份攻击中使用的文档。然后在弹出的认证对话框中输入fakename和fakepass凭证,如图6所示。

图片.png

图6 在认证框中输入假的身份凭证

在C2服务器上,就可以看到Phishery接收到身份凭证,如图7所示。

图片.png

图7 Phishery C2获取的身份凭证

结论

DarkHydrus是针对中东地区进行攻击的威胁组织,攻击目标主要是政府和教育机构。使用Phishery工具创建武器化的word文档,然后通过鱼叉式钓鱼攻击传播,窃取用户身份凭证。Phishery攻击的使用说明Dark Hydrus组织依赖开源攻击发起工具活动。

源链接

Hacking more

...