DarkHydrus使用基础认证伪造工具Phishery在中东地区窃取凭证

上周Unit 42发布了关于名为DarkHydrus的新威胁组织的资料,研究人员观察到该组织的目标是中东的政府实体。Unit 42此前讨论过的攻击包括使用鱼叉式网络钓鱼来提供被称为RogueRobin的PowerShell有效载荷。

然而,DarkHydrus在2018年6月进行了凭证获取攻击。目前看来DarkHydrus的活动也正在进行,有证据表明之前使用相同基础设施的获取凭证的尝试可追溯到2017年秋。这些攻击针对中东的政府和教育机构。

凭据获取攻击使用包含恶意Microsoft Office文档的鱼叉式网络钓鱼电子邮件,这些邮件包含恶意的Microsoft Office文档利用“attachTemplate”技术从远程服务器加载模板。尝试加载此远程模板时,Microsoft Office将显示一个身份验证对话框,要求用户提供登录凭据。输入后,这些凭据将被发送到C2服务器,这允许DarkHydrus收集用户帐户凭据。

根据Unit 42的技术分析,DarkHydrus使用开源Phishery工具创建了两个用于这些凭证收集攻击的Word文档。这进一步证明了DarkHydrus对其攻击工具的开源性使用。

其实此类网络钓鱼攻击并非鲜事:US-CERT 曾于2017年警告不同的威胁组织在攻击中采用了相同的技术。值得注意的是,DarkHydrus使用开源工具对这些实体进行了针对性攻击,这与他们对开源工具的依赖吻合。由此研究人员推测这个组织将在不久的将来继续对中东的这类目标进行攻击。

标签: 凭证获取攻击

作者:pig 来源:黑客视界 浏览量:36 时间: 2018-08-09

加入墨者学院可立即获得20墨币

可免费开启靶场环境

点击注册领取

已有账号,立即登录