DarkHydrus用开源工具进行网络钓鱼攻击

一个相对较新的威胁演员依靠开源工具进行鱼叉式网络钓鱼攻击，旨在窃取中东政府和教育机构的证书。

Palo Alto Networks Unit 42的研究人员正在跟踪该组织的DarkHydrus，他在最近的证据收集攻击中使用Phishery观察了它。以前的广告系列使用了Meterpreter，Cobalt Strike，Invoke-Obfuscation，Mimikatz，PowerShellEmpire和Veil。采用的典型方法是武器化Office文档，以便在执行时从远程站点检索恶意代码。

在6月的一次袭击中，DarkHydrus将一个教育实体定位为一个带有主题行“Project Offer”的电子邮件，并附带一个Word文档作为附件。启动Word文档后，它会提示用户在身份验证提示中输入用户名和密码。如果他们这样做，凭证将直接发送到恶意行为者的命令和控制服务器。

所有这些对于不知情的人来说似乎是合法的，特别是因为对话框显示与相当熟悉的域的连接。

“首先，编辑的子域是目标教育机构的领域，” 研究人员说。“此外，0utl00k [。]网域类似于微软的合法”outlook.com“域名，提供免费电子邮件服务，这也使用户不再怀疑并更有可能输入他们的凭据，”

虽然这次袭击中使用的文件是空的，可能会引起怀疑，但这并不是该集团第一次采用这种技术。在2017年底，使用相同域的两个不同的Word文件引起了专家的注意。他们都展示了与目标相关的内容; 一个是员工调查，另一个是密码移交表。

趋势已经形成

滥用合法工具并不是威胁行为者的新方向。去年的WannaCry和NotPetya快速传播是由于Mimikatz（用于检索密码）和PsExec（用于在受影响的系统上远程执行命令）。

如果不出意外，使用随时可用的实用程序已成为一种趋势。臭名昭着的FIN7银行抢劫团队使用Cobalt Strike威胁仿真软件构建了他们的自定义恶意软件。

SamSam工作人员使用合法的软件和服务进行操作，这些软件和服务存在于受害者系统或公开可用 用于异地连接的RDP（远程桌面协议）和用于远程管理服务器和工作站的Hyena只是网络犯罪分子使用的两种工具。

同样，Leafminer依靠渗透测试软件和公共研究来查找中东地区受感染系统上的电子邮件，凭证，文件和数据库。