Gossamer Bear APT 攻击模拟

admin
admin
admin
138635
文章
114
评论
2025年3月16日00:58:29评论10 views字数 2093阅读6分58秒阅读模式

这是 (Gossamer Bear) APT 组织针对乌克兰后勤支持和防御机构的攻击模拟,攻击活动从 2023 年 4 月开始,攻击链从发送带有附加 PDF 文件或托管在云存储平台上的 PDF 文件的链接的消息开始。PDF 文件将无法读取,其中有一个显眼的按钮声称可以读取内容,按下 PDF 诱饵中的按钮会导致默认浏览器打开嵌入在 PDF 文件代码中的链接,这是重定向链的开始。目标可能会在打开的初始页面中看到一个名为“Docs”的网页,并且可能会显示一个验证码来让其解决,然后才能继续重定向。浏览会话将结束,显示收到鱼叉式网络钓鱼电子邮件的帐户的登录屏幕,目标电子邮件已经出现在用户名字段中。我依靠微软来弄清楚进行此模拟的细节:https://www.microsoft.com/en-us/security/blog/2023/12/07/star-blizzard-increases-sophistication-and-evasion-in-ongoing-attacks/

Gossamer Bear APT 攻击模拟Gossamer Bear APT 攻击模拟

此次攻击包括几个阶段,包括创建 PDF 文件并在其中放置超链接。PDF 文件将无法读取,并带有一个显眼的按钮,用于读取内容。按下 PDF 文件中的按钮会导致默认浏览器打开一个指向虚假页面的链接,从而窃取目标的凭据。从同一个 PDF 中,我还能够获得命令和控制权。

  1. PDF 文件:创建的 PDF 文件包含一个超链接,该超链接会引导用户进入窃取凭证的虚假页面。

2.HTML走私:用于打开凭证钓鱼页面的URL并安装payload。

3.现在,当您单击 PDF 文件中的显眼按钮时,它会在 apache 服务器上启动 html 走私文件,其中包含 base64 编码的有效负载和网络钓鱼链接。

4. 数据泄露:通过 GoogleDrive API C2 通道,这集成了 GoogleDrive API 功能,以促进受感染系统与攻击者控制的服务器之间的通信,从而可能将流量隐藏在合法的 GoogleDrive 通信中。

5.制作简单的反向 shell 有效负载来创建与命令和控制 (C2) 服务器的 TCP 连接并监听在目标机器上执行的命令。

6.此过程的最后一步涉及最终有效负载的执行,之后通过带有 base64 编码的混淆 HTML 文件下载它并打开网络钓鱼链接。

Gossamer Bear APT 攻击模拟Gossamer Bear APT 攻击模拟

第一阶段(分娩技术)

首先攻击者创建的PDF文件包含一个超链接,该超链接会引导用户进入一个窃取凭证的虚假页面,超链接的优势在于它不会出现在文本中,这正是攻击者想要利用的。

Gossamer Bear APT 攻击模拟Gossamer Bear APT 攻击模拟

HTML 走私用于打开凭证钓鱼页面的 URL,并创建有效负载的安装以获取命令和控制,之后我将把 HTML 文件放在 apache 服务器中,获取本地主机并将其作为超链接放在 PDF 文件的突出按钮中。

Gossamer Bear APT 攻击模拟Gossamer Bear APT 攻击模拟

第二阶段(植入技术)

现在我将把钓鱼链接放在 HTML 文件中,并通过 base64 将有效载荷放在 HTML 文件中,在这个模拟中我使用了 PyPhisher 工具。

PyPhisher:https://github.com/KasRoudra2/PyPhisher.git

base64 载荷

Gossamer Bear APT 攻击模拟Gossamer Bear APT 攻击模拟

之后,我将把钓鱼链接和payload放入html文件中,然后对其进行混淆,再将其放入apache服务器中。

我使用 wmtips 对 html 文件进行混淆:https://www.wmtips.com/tools/html-obfuscator/#google_vignette

Gossamer Bear APT 攻击模拟Gossamer Bear APT 攻击模拟

第三阶段(执行技术)

现在,当我单击 PDF 文件中的显眼按钮时,它会在 apache 服务器上启动 html 走私文件,其中包含 base64 编码的有效负载和网络钓鱼链接。

Gossamer Bear APT 攻击模拟Gossamer Bear APT 攻击模拟

第四阶段(通过 GoogleDrive API C2 通道进行数据泄露)

在实际攻击中,攻击者并没有使用实际的 c2 服务器或有效载荷,而是仅限于鱼叉式网络钓鱼,但在这里我想利用更大的 HTML 文件的存在来下载有效载荷并打开恶意 url。

首先我需要创建一个google Drive账户,如下图

1.登录 Google Cloud Platform2.在 Google Cloud 中创建项目 3.平台仪表板4.启用 Google Drive API5.创建 Google Drive API 密钥

Gossamer Bear APT 攻击模拟Gossamer Bear APT 攻击模拟

我使用 GoogleDrive C2(命令和控制)API 作为在有效负载和攻击者的服务器之间建立通信通道的手段,通过使用 GoogleDrive 作为 C2 服务器,我可以将恶意活动隐藏在 GoogleDrive 的合法流量中,使安全团队更难检测到威胁。

Gossamer Bear APT 攻击模拟Gossamer Bear APT 攻击模拟

第五阶段(payload 加上反向 shell)

这个有效载荷是一个用 Rust 编写的简单反向 shell,它创建到命令和控制(C2)服务器的 TCP 连接并监听在受感染机器上执行的命令,有效载荷首先设置 C2 服务器的 IP 地址和端口号。

当收到命令时,使用 Windows 中的 cmd 命令执行该命令。命令的输出被捕获并发送回 C2 服务器,循环继续,直到 C2 服务器关闭连接或从服务器接收数据时发生错误。

Gossamer Bear APT 攻击模拟Gossamer Bear APT 攻击模拟

最终结果:payload连接到GoogleDrive C2服务器

该过程的最后一步涉及最终有效负载的执行,之后通过带有 base64 编码的混淆 HTML 文件下载它并打开网络钓鱼链接。

原文始发于微信公众号(安全狗的自我修养):Gossamer Bear APT 攻击模拟

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月16日00:58:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Gossamer Bear APT 攻击模拟https://cn-sec.com/archives/3842756.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息