窃取身份凭证

6月24日，研究人员发现DarkHydrus对中东的教育机构发起身份凭证窃取攻击。攻击中使用了主题为“project offer”的鱼叉式钓鱼攻击邮件和恶意word附件（SHA256: d393349a4ad00902e3d415b622cf27987a0170a786ca3a1f991a521bff645318）。打开附件时，会出现一个对话框要求用户输入身份凭证，如图1所示。

图1 展示给用户的认证对话框

如图1所示，认证弹窗的内容为“Connecting to <redacted>. 0utl00k[.]net”，如果用户输入了身份凭证，点击ok后，输入的身份凭证就会通过URL https://<redacted>.0utl00k[.]net/download/template.docx发送给C2服务器。关闭认证弹窗后，看到word中的内容是一个空文档。因为是空的，所以目标用户为了看到word中的内容输入身份凭证的概率就更大一些。

DarkHydrus在欺骗域名的选择上也非常细心，也是为了尽可能的让用户输入凭证。首先，子域名是目标教育机构的域名，0utl00k[.]net是模仿outlook.com，这都是为了取得用户信任，减少怀疑。一些用户甚至没有注意弹框中的域名就习惯性的输入Windows身份凭证了。

研究人员还找到两个使用0utl00k[.]net域名来窃取用户身份凭证的word文档，如表1所示。这两个word的日期是2017年9月和11月，这说明DarkHydrus窃取身份凭证的活动已经活动1年时间了。

表1 DarkHydrus使用的其他Word文档

相关的文档都使用attachedTemplate技术发送文件到URL https://0utl00k[.]net/docs来窃取用户凭证。2018年6月文档在得到身份凭证后并不会展示内容，而这两个样本文档都会展示与目标组织相关的内容。2017年9月的样本文档展示的雇员调查问卷，如图2。

图2 凭证窃取后显示的雇员调查问卷

2017年11月的文档显示的身份凭证被窃取后的密码切换文档，如图3所示。研究人员没有通过搜索没有找到文档展示的相关内容，这应该是攻击者从之前的攻击活动中收集的密码。

图3 展示的密码切换文档

身份凭证窃取攻击中使用的域名0utl00k[.]net，解析的IP地址是107.175.150[.]113和195.154.41[.]150。

Phishery 工具

研究人员在分析这三个word文档时发现其中两个是用开源工具Phishery制作的。Phishery可以：

· 通过注入远程模板URL来创建恶意文档；

· 在尝试获取远程模板时，在C2服务器上收集用户在认证对话框中输入的身份凭证；

可以确认的是DarkHydrus使用Phishery来创建钓鱼文档，2018年6月攻击中使用的word文档中就有远程模板URL地址，如图4所示。

图4 DarkHydrus文档中添加的远程模板URL

复制图4中的远程目标路径，然后使用Phishery工具就可以创建一个武器化的传播文档。图5是Phishery命令向good_test.docx文档中注入一个URL然后生成了bad_test.docx。

图5 用于创建攻击文档的Phishery命令

为了确认，研究人员用Phishery的C2服务器打开了DarkHydrus 6月份攻击中使用的文档。然后在弹出的认证对话框中输入fakename和fakepass凭证，如图6所示。

图6 在认证框中输入假的身份凭证

在C2服务器上，就可以看到Phishery接收到身份凭证，如图7所示。

图7 Phishery C2获取的身份凭证

结论

DarkHydrus是针对中东地区进行攻击的威胁组织，攻击目标主要是政府和教育机构。使用Phishery工具创建武器化的word文档，然后通过鱼叉式钓鱼攻击传播，窃取用户身份凭证。Phishery攻击的使用说明Dark Hydrus组织依赖开源攻击发起工具活动。

本文翻译自：ttps://researchcenter.paloaltonetworks.com/2018/08/unit42-darkhydrus-uses-phishery-harvest-credentials-middle-east/

原文地址： http://www.4hou.com/web/12975.html

翻译作者：ang010ela 文章图片来源于网络，如有问题请联系我们