DarkHydrus：使用Phishery開源工具竊取身份憑證

竊取身份憑證

6月24日，研究人員發現DarkHydrus對中東的教育機構發起身份憑證竊取攻擊。攻擊中使用了主題為「project offer」的魚叉式釣魚攻擊郵件和惡意word附件（SHA256: d393349a4ad00902e3d415b622cf27987a0170a786ca3a1f991a521bff645318）。打開附件時，會出現一個對話框要求用戶輸入身份憑證，如圖1所示。

圖1 展示給用戶的認證對話框

如圖1所示，認證彈窗的內容為「Connecting to . 0utl00k[.]net」，如果用戶輸入了身份憑證，點擊ok後，輸入的身份憑證就會通過URL https://.0utl00k[.]net/download/template.docx發送給C2伺服器。關閉認證彈窗後，看到word中的內容是一個空文檔。因為是空的，所以目標用戶為了看到word中的內容輸入身份憑證的概率就更大一些。

DarkHydrus在欺騙域名的選擇上也非常細心，也是為了儘可能的讓用戶輸入憑證。首先，子域名是目標教育機構的域名，0utl00k[.]net是模仿outlook.com，這都是為了取得用戶信任，減少懷疑。一些用戶甚至沒有注意彈框中的域名就習慣性的輸入Windows身份憑證了。

研究人員還找到兩個使用0utl00k[.]net域名來竊取用戶身份憑證的word文檔，如表1所示。這兩個word的日期是2017年9月和11月，這說明DarkHydrus竊取身份憑證的活動已經活動1年時間了。

表1 DarkHydrus使用的其他Word文檔

相關的文檔都使用attachedTemplate技術發送文件到URL https://0utl00k[.]net/docs來竊取用戶憑證。2018年6月文檔在得到身份憑證後並不會展示內容，而這兩個樣本文檔都會展示與目標組織相關的內容。2017年9月的樣本文檔展示的僱員調查問卷，如圖2。

圖2 憑證竊取後顯示的僱員調查問卷

2017年11月的文檔顯示的身份憑證被竊取後的密碼切換文檔，如圖3所示。研究人員沒有通過搜索沒有找到文檔展示的相關內容，這應該是攻擊者從之前的攻擊活動中收集的密碼。

圖3 展示的密碼切換文檔

身份憑證竊取攻擊中使用的域名0utl00k[.]net，解析的IP地址是107.175.150[.]113和195.154.41[.]150。

Phishery 工具

研究人員在分析這三個word文檔時發現其中兩個是用開源工具Phishery製作的。Phishery可以：

·通過注入遠程模板URL來創建惡意文檔；

·在嘗試獲取遠程模板時，在C2伺服器上收集用戶在認證對話框中輸入的身份憑證；

可以確認的是DarkHydrus使用Phishery來創建釣魚文檔，2018年6月攻擊中使用的word文檔中就有遠程模板URL地址，如圖4所示。

圖4 DarkHydrus文檔中添加的遠程模板URL

複製圖4中的遠程目標路徑，然後使用Phishery工具就可以創建一個武器化的傳播文檔。圖5是Phishery命令向good_test.docx文檔中注入一個URL然後生成了bad_test.docx。

圖5 用於創建攻擊文檔的Phishery命令

為了確認，研究人員用Phishery的C2伺服器打開了DarkHydrus 6月份攻擊中使用的文檔。然後在彈出的認證對話框中輸入fakename和fakepass憑證，如圖6所示。

圖6 在認證框中輸入假的身份憑證

在C2伺服器上，就可以看到Phishery接收到身份憑證，如圖7所示。

圖7 Phishery C2獲取的身份憑證

結論

DarkHydrus是針對中東地區進行攻擊的威脅組織，攻擊目標主要是政府和教育機構。使用Phishery工具創建武器化的word文檔，然後通過魚叉式釣魚攻擊傳播，竊取用戶身份憑證。Phishery攻擊的使用說明Dark Hydrus組織依賴開源攻擊發起工具活動。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！