Nova napredna grupa koristi open source alat za phishing napade

Vladine i obrazovne institucije širom Bliskog istoka su meta kontinualne kampanje krađe kredencijala od strane novootkrivene DarkHydrus grupe. Istraživači iz Palo Alto Networks tvrde da napadači koriste maliciozne Microsoft Office dokumente proizvedene korišćenjem „attachedTemplate“ tehnike. Ova tehnika zloupotrebljava legitimnu funkcionalnost Office paketa koja omogućava preuzimanje šablona (Template) sa udaljenog servera.

Istraživači navode da DarkHydrus za kreiranje malicioznih Office dokumenata koristi open source alat za testiranje pod nazivom Phishery. Nakon kreiranja dokumenti se dostavljaju u spear-phishing kampanji. Email poruke su sadržavale naslov „Project Offer“ i kao dodatak su sadržavale prazan Word dokument. Ukoliko bi korisnici otvorili dokument pojavio bi se autentifikacioni prozor koji šalje kredencijale C2 serveru. U kampanji je takođe korišćen 0utl00k[.]net domen koji podsjeća na Microsoft-ov domen outlook.com.

Isti istraživači su objavili da su pored ove kampanje pronašli još jednu spear-phishing kampanju. Druga kampanja koristi maliciozne Excel dokumente kako bi zarazila računare sa malverom napisanim u PowerShell-u. Istraživači iz Palo Alto tvrde da ih je analiza infrastrukture koja se koristi za širenja dovela do zaključka da i iza ove kampanje takođe stoji DarkHydrus grupa. Skripta za instalaciju mavera je sačinjena od više segmenata koda iz različitih open source rješenja koja uključuju i Invoke-Obfuscation alat za obfuskaciju.

DarkHydrus grupa je do sada bila nepoznata istraživačima, ali istraživači iz Palo Alto tvrde da ih je analiza artifakta navela na zaključak da je ova grupa aktivna od 2016. godine.

Izvor:threatpost.com