DarkHydrus 组织利用开源工具发动钓鱼攻击

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

Palo Alto Networks公司的“第42部队”指出，威胁组织DarkHydrus利用开源工具发动钓鱼攻击，窃取中东地区政府机构和教育机构的凭证。

研究人员指出，DarkHydrus 在最近实施的凭证窃取攻击活动中使用了 Phishery，此前曾用过 Meterpreter、Cobalt Strike、Invoke-Obfuscatioin、Mimikatz、PowerShellEmpire 和 Veil。攻击者使用的典型方法是将 Office 文档武器化，执行时从远程站点中检索恶意代码。

6月份，DarkHydrus 利用主题为“项目邀请”且带有 Word 附件的邮件攻击一家教育机构。Word 文档打开后就会提示用户在认证弹出框中输入用户名和密码。如输入，则用户的凭证会直接发送至恶意人员的命令和控制服务器中。

对于不知情的用户而言，这一切都看似合法，尤其是对话框显示出和相当熟悉的域名之间存在关联的时候。

研究人员表示，首先，编校的子域名是目标教育机构的域名。其次，outlook[.]com 域名和微软的合法 “outlook.com” 域名很像，后者提供免费的邮件服务，这就降低了用户的怀疑，更可能输入凭证。

虽然攻击中使用的文档是空白的因而可能会引起怀疑，但这并非 DarkHydrus 首次使用该技术。2017年年末，安全专家注意到了使用同一个域名的两份 Word 文件。这两份文件都向目标展示了相关内容：一份是员工调查，另外一份是密码提交表单。

利用合法工具发动攻击成趋势

滥用合法工具并非威胁人员发展的新方向。去年“想哭”和 NotPetya 勒索攻击的快速传播就是因 Mimikatz 和 PsExec 而起。Mimikatz 用于检索密码，而 PsExec 用于在受影响系统上执行远程命令。

使用快速可用的工具已成为一种趋势。臭名昭著的 FIN7 银行抢劫组织就利用 Cobalt Strike 威胁模拟软件构建了自定义软件。

SamSam 组织利用的是受害者系统或公开可用的合法软件和服务。用于异地连接的 RDP（远程桌面协议）和用于远程服务器和工作站管理的 Hyena 即是网络犯罪分子使用的两款工具。

同样，Leafminer 利用渗透测试软件和公开研究成果从位于中东的受攻陷系统查找邮件、凭证、文件和数据库。

https://www.bleepingcomputer.com/news/security/darkhydrus-relies-on-open-source-tools-for-phishing-attacks/