点击上方蓝字关注我们今年八月份,攻击者利用伪装成Xerox扫描通知的电子邮件,诱使用户打开恶意的HTML附件,发起网络钓鱼活动。尽管整个感染链路看起来非常简单,但它成功绕过了Microsoft Office 365的ATP高级威胁防护(一种基于云的电子邮件筛选服务),并窃取了上千名企业员工的凭证信息。
有趣的是,由于其攻击链路中的一个简单错误,此次钓鱼活动背后的攻击者将其使用的数十个drop-zone服务器中存储的凭证信息暴露在Internet上。通过简单的Google搜索,任何人都可以找到被感染的电子邮件地址的密码。
图1. HTML网络钓鱼文件示例
感染链路
最初的攻击始于几种网络钓鱼电子邮件模板之一。攻击者通过发送伪造成Xerox扫描通知的电子邮件,邮件主题行中标明了目标名字或公司名称。
图2. 网络钓鱼邮件示例
一旦受害者双击附件的HTML文件,默认的系统浏览器就会在文档中显示,预置的电子邮件的模糊图像(如图1所示)。
整个钓鱼活动中使用了多种网页钓鱼页面,但是模糊的背景图像始终保持不变。
HTML文件启动后,将在文档后台运行JavaScript代码。该代码负责简单的密码检查,将数据发送到攻击者的拖放区服务器,并将用户重定向到合法的Office 365登录页面。
图3. 泄漏的C2地址
图4. 密码验证过程和重定向
在整个攻击活动中,代码不断地完善,攻击者创造了更真实的体验,从而降低受害者的防范心理,诱骗其提供登录凭据。
从该活动最新的检测率可以看出,攻击者通过简单的技术手段,成功躲避了大多数防病毒供应商的检测。
图5. VirusTotal上的钓鱼页面的低检测率
基础设施
此次活动既利用了独特的基础设施,又利用了已被入侵的WordPress网站作为攻击者的drop-zone服务器。
在使用定制的基础设施时,该服务器在数十个XYZ域名中大约可以运行两个月。这些注册的域名被用于网络钓鱼攻击。
图6. drop-zone服务器45.88.3.233的每日被动总域视图
图7. 用于网络钓鱼攻击的drop-zone域名示例
研究人员发现了数十个被感染的WordPress服务器,它们托管了名为“go.php”、“post.php”、“gate.php”、“rent.php”或“rest.php”的恶意PHP页面,并处理了网络钓鱼攻击的受害者传入的所有凭证信息。
攻击者通常更喜欢使用被感染的知名服务器而不是其自己的基础设施。被感染的服务器的声誉越大,安全厂商不会阻止该电子邮件的机会就越大。
网络钓鱼邮件分发
研究人员通过分析此次活动中所使用的不同电子邮件的标头,总结出攻击者所使用的一些战术、技术和程序(TTP):
-
钓鱼邮件是从Microsoft Azure托管的Linux服务器发送的
-
钓鱼邮件通常是使用PHP Mailer 6.1.5发送的(3月19日到5月27日的最新版本)
-
钓鱼邮件是通过1&1电子邮件服务器分发的
攻击者使用被感染的电子邮件帐户分发垃圾邮件,通过信誉卓著的网络钓鱼活动来防止电子邮件被阻止。研究人员在一个特定的活动中,发现了一个仿冒德国web托管公司IONOS的钓鱼页面。攻击者很有可能使用了受感染的IONOS帐户凭证,来发送其余Office 365主题垃圾邮件。
图8. 备用的网络钓鱼页面
目标组织
研究人员发现一旦用户的信息被发送到drop-zone服务器,数据将保存在一个公开可见的文件中,该文件可被Google索引。这样一来,任何人都可以通过简单的Google搜索来访问被盗的电子邮件凭证信息。
图9. 存储在公共URL上的凭证格式示例
这些数据的公开可用性使研究人员能够根据对受害者的行业进行细分(按大约500个被盗凭证的子集)。
图10. 目标行业分布
尽管目标行业分布广泛,但是主要攻击目标为能源和建筑公司。
相关活动
研究人员通过对TTP进行比较,发现了与此次钓鱼活动存在关联的活动。由于相似性,研究人员认为这些活动可能是由同一攻击者,或同一攻击组织下的不同小组所执行的。
图11. 相关活动的钓鱼邮件
研究人员发现了2020年5月发送的网络钓鱼邮件,该钓鱼邮件与上述TTP完全匹配。此外,它还使用了此次活动八月份所使用的相同JavaScript代码。
图12. 两个网络钓鱼页面的第一行对比图
在5月的钓鱼活动中,该脚本将用户重定向到Office 365网络钓鱼页面的另一个变体,该变体并未完全编码在初始HTML文件中。
图13. 5月份的网络钓鱼页面
Google搜索引擎算法会将互联网页面编入索引,这就是它成为目前世界上最流行的搜索引擎的原因。归功于其强大的算法,它还能够为黑客页面建立索引,在此页面上他们可以临时存储所窃取的凭证信息。研究人员通知Google,让他们为黑客的失败编制索引,而受害者现在可以使用Google搜索功能来查找其被盗的凭证信息,并相应地更改其密码。
IOC
攻击者注册的C2域名
aauths[.]xyz
asklogzswq[.]xyz
bdqopt[.]xyz
drakovexlogz[.]xyz
hrekre[.]xyz
ionlineforyou[.]xyz
itsthebestasajob[.]xyz
khetwexw[.]xyz
livestrde28[.]xyz
loggsofice[.]xyz
manonwork[.]xyz
officeautonow[.]xyz
officednslogsonline[.]xyz
quantityscape[.]xyz
redirectitto[.]xyz
rhbreeef[.]xyz
sendlivofse[.]xyz
shlivemicrosft[.]xyz
synchoilas[.]xyz
urentr[.]xyz
vintageredwe[.]xyz
wegoforyou[.]xyz
weworkhard[.]xyz
workingoni[.]xyz
zixzanwe[.]xyz
mtietw[.]xyz
justgoturwork[.]xyz
froffisse[.]xyz
近期托管在受感染的服务器上的C2页面
http://corp.uber24[.]ru/php/go.php
https://aparthotelgeres[.]pt/wp-content/plugins/1/post.php
https://expendiatus[.]xyz/post.php
https://ifultech[.]com/1/post.php
https://www.aascarrierinc[.]com/wp-includes/SimplePie/Decode/HTML/rest.php
https://silverstream-london[.]com/1/post.php
https://actorsstudio.com[.]np/wp-admin/includes/1/post.php
http://365itsos.com[.]au/wp-admin/includes/rent.php
https://www.skyblue-network[.]com/wp-includes/images/go.php
https://www.kayakingfloridakeys[.]com/wp-admin/rent.php
https://easimedic[.]com/1/post.php
https://www.aascarrierinc[.]com/wp-includes/SimplePie/Decode/HTML/rest.php
HTML钓鱼页面
SHA-1:
e76eb571068c195444d0e23cbdc35fba19a95e0c
9fc656e03703994d5f144457d020db5b06469abc
79d4464c7325feb38a02726b049d6cce3d747627
44c05f4b2bb0787a9c2fcf7c36e1dab457fbe370
c1ec15c712c29dcac08660fddb0da71e94b3d04a
4933bd2fa4c9a3ea30ac479a738ebcdfb488044f
d098f6473f2f6bfd8e3f2f14dd56adc969e76725
a8e817fa63fe2c5bf0273f63f2267b61ce89de72
37713a64ffd1b126f8a4809e94faf9cd72538974
53c4ccab781d93eb04ff5bcfc01321c11958816c
4f309c3a8d754a3fcdfed611e4f101e6b690ddd5
cccf673f3c9c02f5f9a21346cdc91f78d94c92b3
2ac423a86d94d82cc0ecc3c508aa7a90c27a4b9c
END
本文始发于微信公众号(SecTr安全团队):黑客失误导致窃取的凭证通过谷歌搜索公开
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论