DarkHydrus使用Phishery在中東地區竊取憑證

在上周，Unit 42發表了一個篇關於介紹一個名為DarkHydrus的新威脅組織的博文，我們觀察到該組織的目標是位於中東地區的政府實體。在這篇文章中，我們對通過魚叉式網路釣魚傳播的被我們稱之為RogueRobin的PowerShell payload進行了討論。並且，我們還知道DarkHydrus在2018年6月實施了一次憑證竊取攻擊。另外，這似乎還是一場仍在繼續進行中的活動，因為我們有證據表明使用相同基礎設施的憑證竊取嘗試可以追溯到2018年秋季，而這些攻擊所針對的目標均是位於中東地區的政府實體和教育機構。

憑據竊取攻擊使用了包含惡意Microsoft Office文檔的魚叉式網路釣魚電子郵件，這些文檔利用「attachTemplate」技術從遠程伺服器載入模板。當嘗試載入這個遠程模板時，Microsoft Office將顯示一個身份驗證對話框，要求用戶輸入登錄憑證。在輸入之後，這些憑證將被發送到C2伺服器，DarkHydrus便是通過這種方式來竊取用戶帳戶憑證的。

基於Unit 42的分析，DarkHydrus使用開源Phishery工具創建了兩個用於憑證竊取攻擊的Word文檔。正如我們在之前的博文中所討論的那樣，這進一步突顯了DarkHydrus對開源攻擊工具的依賴。

像這樣目的在於竊取憑證的網路釣魚攻擊並不是什麼新鮮事：US-CERT 在2017年就曾發出警告，稱有不同的威脅組織使用了與此類似的攻擊技術。值得注意的是，DarkHydrus使用開源工具對這些實體進行有針對性的攻擊，這與他們對開源工具的依賴相吻合，而這些攻擊與我們上周報道的目標也一致。基於此，我們可以合理地推測，在不久的將在，該組織有極大可能會繼續在中東地區針對此類目標發起攻擊。

憑證竊取攻擊

在2018年6月24日，Unit 42觀察到DarkHydrus對位於中東地區的一個教育機構實施了憑證竊取攻擊。在這起攻擊中，涉及到一封以「Project Offer（項目邀請函）」為主題的魚叉式網路釣魚電子郵件以及一個惡意的Word文檔附件(SHA256:d393349a4ad00902e3d415b622cf27987a0170a786ca3a1f991a521bff645318)。在打開惡意Word文檔時，會顯示一個驗證對話框，要求用戶輸入憑證，如圖1所示。

圖1.在打開文檔時向用戶展示的「身份驗證」對話框

如圖1所示，在驗證對話框上有這樣一行文字「Connecting to <這裡對域名進行了屏蔽>. 0utl00k[.]net」，它實際上是DarkHydrus的一個C2伺服器。如果用戶在此對話框中輸入了自己的憑證並按下「OK」按鈕，憑證則將通過URL https://< 這裡對域名進行了屏蔽>.0utl00k[.]net/download/template.docx發送到這個C2伺服器。在驗證對話框消失之後，Word文檔將呈現它的內容。在我們展示的這個樣本中，它的內容是空白的。

DarkHydrus在創建他們C2域時似乎也進行了仔細思考，試圖進一步誘使目標用戶輸入他們的憑證。0utl00k[.]net域看上去非常像是微軟提供免費電子郵件服務的合法「outlook.com」域，這種相似性更加不容易引起用戶的懷疑，進而使他們更有可能輸入自己的憑證。

我們利用0utl00k [.]net域找到了另外兩個用於竊取憑證的Word文檔，如表1所示。我們首次發現這兩個文檔的時間分別是在2017年9月和11月，這表明DarkHydrus幾乎一直在進行這種憑證竊取活動。

表1.用於竊取憑證的另外兩個Word文檔

這兩個文檔都使用了attachmentTemplate技術，通過將憑證發送到URL https://0utl00k[.]net/docs來對其進行竊取。與2018年6月的文檔不同，在憑證被竊取之後，這兩個文檔都呈現了與目標受害者相關的內容。其中，2017年9月的文檔呈現的是一份員工調查表，如圖2所示。

圖2.憑證被竊取後顯示的員工調查表

2017年11月的文檔呈現的是一份密碼移交表，如圖3所示。我們沒有能夠在已公開的研究中找到相同的文檔，這可能表明這份密碼移交表是攻擊者在其以前的活動中收集到的。

圖3.憑證被竊取後顯示的密碼移交表

在這些憑證竊取攻擊中使用的基礎設施都使用了0utl00k [.]net域，在攻擊中解析為107.175.150[.]113 and 195.154.41[.]150。在之前關於介紹這場活動的博文中，我們已經就對相同的基礎架構進行了討論。

Phishery工具

在分析了三個惡意Word文檔之後，我們確定其中兩個文檔是使用名為Phishery的開源工具創建的。Phishery工具包含了以下功能：

1.通過注入遠程模板URL來創建惡意Word文檔；

2.在嘗試獲取遠程模板時，託管的C2伺服器會收集輸入到身份驗證對話框中的憑證。

我們能夠確認的是，DarkHydrus的確使用了開源的Phishery來創建這些Word文檔，並連接到自己的C2伺服器。在2018年6月攻擊中，DarkHydrus所使用的惡意Word文檔就添加了一個遠程模板URL，如圖4所示。

圖4.在2018年6月的文檔中發現的遠程模板URL

我們利用Phishery創建了一個用於測試的文檔，並使用了圖4中的遠程模板URL。圖5展示了這個過程，Phishery能夠將這個URL注入到我們所創建的名為「good_test.docx」的文件中，我們將生成的文件保存為「bad_test.docx」。

圖5.利用Phishery創建測試文檔

為了驗證惡意文檔的功能，我們使用了Phishery的C2伺服器，並打開了DarkHydrus在2018年6月的攻擊中使用的Word文檔。當出現驗證對話框時，我們輸入「fakename」和「fakepass」作為憑證，如圖6所示，然後按回車鍵。

圖6.在身份驗證對話框中輸入虛假的憑證

在C2伺服器上，我們觀察到Phishery收到了入站請求並獲取到了憑證，如圖7所示。具體來講，當我們打開DarkHydrus的Word文檔時，C2伺服器能夠獲取到我們在身份驗證對話框中輸入的「fakename」和「fakepass」。

圖7. PhisheryC2獲取到的憑證

結論

DarkHydrus是一個新發現的威脅組織，以中東地區的組織為目標開展攻擊活動。我們發現，DarkHydrus使用惡意Word文檔來實施憑據竊取攻擊，並通過魚叉式網路釣魚電子郵件將這些文檔發送給政府實體和教育機構。惡意文檔是使用Phishery工具創建的，DarkHydrus使用了自己的C2伺服器來竊取憑證。對於Phishery的使用進一步表明，Dark Hydrus主要依賴於開源工具來開展活動。

IoCs

樣本：

d393349a4ad00902e3d415b622cf27987a0170a786ca3a1f991a521bff645318

9eac37a5c675cd1750cd50b01fc05085ce0092a19ba97026292a60b11b45bf49

0b1d5e17443f0896c959d22fa15dadcae5ab083a35b3ff6cb48c7f967649ec82

基礎設施：

0utl00k[.]net

107.175.150[.]113

195.154.41[.]150

*本文作者：Hydralab，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！