DarkHydrus组织利用黑客工具Phishery攻击中东政府

  • A+
所属分类:网络安全新闻
腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳定/安全漏洞多/单点部署无冗余等常见问题,满足电商/直播/教育等日均PV1-100万的网站部署需求。


成都、重庆区云产品3折特惠,全新机型计算提速,最高睿频可达3.7GHz

几周前,该安全公司透露,该演员正在使用大量免费或开源实用程序用于恶意目的。他们使用了Meterpreter,Mimikatz,PowerShellEmpire,Veil和CobaltStrike等工具,以及一个名为RogueRobin 的基于PowerShell的后门程序。

DarkHydrus组织利用黑客工具Phishery攻击中东政府

通过关注凭据获取,攻击者使用鱼叉式网络钓鱼电子邮件发送恶意Office文档,并使用可追溯到2017年秋季的基础设施。

恶意文档使用attachTemplate 技术从远程攻击者控制的位置加载模板,以提示用户提供登录凭据。然后将登录信息发送给攻击者的服务器。

去年,联邦调查局和美国国土安全部发布联合报告,警告针对美国和其他地区的能源设施进行网络攻击,并利用相同的模板注入技术。然而,这些攻击归因于一个不同的演员。

Palo Alto Networks的安全研究人员认为,DarkHydrus使用开源Phishery工具创建了观察到的凭据收集攻击中观察到的两个Word文档。

其中一起袭击发生在2018年6月24日,目标是中东的一所教育机构。此事件中使用的子域(攻击者控制的0utl00k [。] net )是目标教育机构的域,它使恶意文档和身份验证请求看起来可信。

安全研究人员发现了使用相同恶意域进行凭据收集的其他文档,并说恶意活动已经持续了将近一年。

此前,Palo Alto Networks 发现了威胁演员在攻击中使用的其他域名,包括nyconnect [。]流,Bigip [。]流,Fortiweb [。]下载,卡巴斯基[。]科学,microtik [。]流,owa365 []投标,symanteclive [。]下载,并windowsdefender []胜利。

安全公司称,RogueRobin后门可以确定它是否在沙箱中运行。它为攻击者提供各种远程管理功能,包括文件上载,PowerShell命令,DNS查询,从命令和控制(C&C)下载文件,以及向脚本添加PowerShell模块。研究人员确认Phishery工具用于创建DarkHydrus文档。开源实用程序允许将远程模板URL注入Word文档,并且还能够托管C&C服务器以收集用户提供的凭据。

“我们发现DarkHydrus执行使用武器化Word文档的凭据收集攻击,这些文档通过鱼叉式网络钓鱼电子邮件发送给政府和教育机构内的实体。该威胁组不仅使用Phishery工具创建这些恶意Word文档,还使用C2服务器来收集凭据,“Palo Alto Networks总结道。

CE安全网

发表评论

您必须登录才能发表评论!