黑客失误导致窃取的凭证通过谷歌搜索公开

  • A+
所属分类:安全新闻
黑客失误导致窃取的凭证通过谷歌搜索公开点击上方蓝字关注我们

介绍

近期,网络安全公司Check Point和OTORIO的研究人员合作,对针对全球数千个组织的大规模网络钓鱼活动进行了深入的分析研究,揭示了此次活动的整体感染链路、基础设施以及钓鱼邮件的分发方式。


今年八月份,攻击者利用伪装成Xerox扫描通知的电子邮件,诱使用户打开恶意的HTML附件,发起网络钓鱼活动。尽管整个感染链路看起来非常简单,但它成功绕过了Microsoft Office 365的ATP高级威胁防护(一种基于云的电子邮件筛选服务),并窃取了上千名企业员工的凭证信息。


有趣的是,由于其攻击链路中的一个简单错误,此次钓鱼活动背后的攻击者将其使用的数十个drop-zone服务器中存储的凭证信息暴露在Internet上。通过简单的Google搜索,任何人都可以找到被感染的电子邮件地址的密码。


黑客失误导致窃取的凭证通过谷歌搜索公开

图1. HTML网络钓鱼文件示例


感染链路


最初的攻击始于几种网络钓鱼电子邮件模板之一。攻击者通过发送伪造成Xerox扫描通知的电子邮件,邮件主题行中标明了目标名字或公司名称。


黑客失误导致窃取的凭证通过谷歌搜索公开

图2. 网络钓鱼邮件示例


一旦受害者双击附件的HTML文件,默认的系统浏览器就会在文档中显示,预置的电子邮件的模糊图像(如图1所示)。


整个钓鱼活动中使用了多种网页钓鱼页面,但是模糊的背景图像始终保持不变。


HTML文件启动后,将在文档后台运行JavaScript代码。该代码负责简单的密码检查,将数据发送到攻击者的拖放区服务器,并将用户重定向到合法的Office 365登录页面。


黑客失误导致窃取的凭证通过谷歌搜索公开

图3. 泄漏的C2地址


黑客失误导致窃取的凭证通过谷歌搜索公开

图4. 密码验证过程和重定向


在整个攻击活动中,代码不断地完善,攻击者创造了更真实的体验,从而降低受害者的防范心理,诱骗其提供登录凭据。


活动最新检测率可以看出,攻击者通过简单的技术手段,成功躲避了大多数防病毒供应商的检测。


黑客失误导致窃取的凭证通过谷歌搜索公开

图5. VirusTotal上的钓鱼页面的低检测率


基础设施


此次活动既利用了独特的基础设施,又利用了被入侵的WordPress网作为攻击者的drop-zone服务器。


在使用定制的基础设施时,该服务器在数十个XYZ域名中大约可以运行两个月。这些注册的域名被用于网络钓鱼攻击。


黑客失误导致窃取的凭证通过谷歌搜索公开

图6. drop-zone服务器45.88.3.233的每日被动总域视图


黑客失误导致窃取的凭证通过谷歌搜索公开

图7. 用于网络钓鱼攻击的drop-zone域名示例


研究人员发现了数十个被感染的WordPress服务器,它们托管了名为“go.php”post.php”、“gate.php”、“rent.php”或“rest.php”的恶意PHP页面,并处理了网络钓鱼攻击的受害者传入的所有凭证信息。


攻击者通常更喜欢使用被感染的知名服务器而不是其自己的基础设施。被感染的服务器的声誉越大,安全厂商不会阻止该电子邮件的机会就越大。


网络钓鱼邮件分发


研究人员通过分析此次活动中所使用的不同电子邮件的标头,总结出攻击者所使用的一些战术、技术和程序(TTP):


  • 钓鱼邮件是从Microsoft Azure托管的Linux服务器发送的

  • 钓鱼邮件通常是使用PHP Mailer 6.1.5发送(3月19日到5月27日的最新版本)

  • 钓鱼邮件是通过1&1电子邮件服务器分发的


攻击者使用被感染的电子邮件帐户分发垃圾邮件,通过信誉卓著的网络钓鱼活动来防止电子邮件被阻止。研究人员在一个特定的活动中,发现了一个仿冒德国web托管公司IONOS的钓鱼页面。攻击者很有可能使用了受感染的IONOS帐户凭证,来发送其余Office 365主题垃圾邮件。


黑客失误导致窃取的凭证通过谷歌搜索公开

图8. 备用的网络钓鱼页面


目标组织


研究人员发现一旦用户的信息被发送到drop-zone服务器,数据将保存在一个公开可见的文件中,该文件可被Google索引。这样一来,任何人都可以通过简单的Google搜索来访问被盗的电子邮件凭证信息。


黑客失误导致窃取的凭证通过谷歌搜索公开

图9. 存储在公共URL上的凭证格式示例


这些数据的公开可用性使研究人员能够根据对受害者的行业进行细分(按大约500个被盗凭证的子集)。


黑客失误导致窃取的凭证通过谷歌搜索公开

图10. 目标行业分布


尽管目标行业分布广泛,但是主要攻击目标为能源和建筑公司。


相关活动


研究人员通过对TTP进行比较,发现了与此次钓鱼活动存在关联的活动。由于相似性,研究人员认为这些活动可能是由同一攻击者,或同一攻击组织下的不同小组所执行的。


黑客失误导致窃取的凭证通过谷歌搜索公开

图11. 相关活动的钓鱼邮件


研究人员发现了2020年5月发送的网络钓鱼邮件,该钓鱼邮件与上述TTP完全匹配。此外,它还使用了此次活动八月份所使用的相同JavaScript代码。


黑客失误导致窃取的凭证通过谷歌搜索公开

图12. 两个网络钓鱼页面的第一行对比图


在5月的钓鱼活动中,该脚本将用户重定向到Office 365网络钓鱼页面的另一个变体,该变体并未完全编码在初始HTML文件中。


黑客失误导致窃取的凭证通过谷歌搜索公开

图13. 5月份的网络钓鱼页面


Google搜索引擎算法会将互联网页面编入索引,这就是它成为目前世界上最流行的搜索引擎的原因。归功于其强大的算法,它还能够为黑客页面建立索引,在此页面上他们可以临时存储所窃取的凭证信息。研究人员通知Google,让他们为黑客的失败编制索引,而受害者现在可以使用Google搜索功能来查找其被盗的凭证信息,并相应地更改其密码。


IOC


攻击者注册的C2域名


aauths[.]xyz

asklogzswq[.]xyz

bdqopt[.]xyz

drakovexlogz[.]xyz

hrekre[.]xyz

ionlineforyou[.]xyz

itsthebestasajob[.]xyz

khetwexw[.]xyz

livestrde28[.]xyz

loggsofice[.]xyz

manonwork[.]xyz

officeautonow[.]xyz

officednslogsonline[.]xyz

quantityscape[.]xyz

redirectitto[.]xyz

rhbreeef[.]xyz

sendlivofse[.]xyz

shlivemicrosft[.]xyz

synchoilas[.]xyz

urentr[.]xyz

vintageredwe[.]xyz

wegoforyou[.]xyz

weworkhard[.]xyz

workingoni[.]xyz

zixzanwe[.]xyz

mtietw[.]xyz

justgoturwork[.]xyz

froffisse[.]xyz


近期托管在受感染的服务器上的C2页面


http://corp.uber24[.]ru/php/go.php

https://aparthotelgeres[.]pt/wp-content/plugins/1/post.php

https://expendiatus[.]xyz/post.php

https://ifultech[.]com/1/post.php

https://www.aascarrierinc[.]com/wp-includes/SimplePie/Decode/HTML/rest.php

https://silverstream-london[.]com/1/post.php

https://actorsstudio.com[.]np/wp-admin/includes/1/post.php

http://365itsos.com[.]au/wp-admin/includes/rent.php

https://www.skyblue-network[.]com/wp-includes/images/go.php

https://www.kayakingfloridakeys[.]com/wp-admin/rent.php

https://easimedic[.]com/1/post.php

https://www.aascarrierinc[.]com/wp-includes/SimplePie/Decode/HTML/rest.php


HTML钓鱼页面


SHA-1:

e76eb571068c195444d0e23cbdc35fba19a95e0c

9fc656e03703994d5f144457d020db5b06469abc

79d4464c7325feb38a02726b049d6cce3d747627

44c05f4b2bb0787a9c2fcf7c36e1dab457fbe370

c1ec15c712c29dcac08660fddb0da71e94b3d04a

4933bd2fa4c9a3ea30ac479a738ebcdfb488044f

d098f6473f2f6bfd8e3f2f14dd56adc969e76725

a8e817fa63fe2c5bf0273f63f2267b61ce89de72

37713a64ffd1b126f8a4809e94faf9cd72538974

53c4ccab781d93eb04ff5bcfc01321c11958816c

4f309c3a8d754a3fcdfed611e4f101e6b690ddd5

cccf673f3c9c02f5f9a21346cdc91f78d94c92b3

2ac423a86d94d82cc0ecc3c508aa7a90c27a4b9c


黑客失误导致窃取的凭证通过谷歌搜索公开

END



黑客失误导致窃取的凭证通过谷歌搜索公开


好文!必须在看


本文始发于微信公众号(SecTr安全团队):黑客失误导致窃取的凭证通过谷歌搜索公开

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: