Water Nue网络钓鱼活动针对C-Suite的Office 365账户 – 作者:freebuf1006

自2020年3月以来,出现了一系列持续针对Office 365账户进行鱼叉式网络钓鱼的BEC活动,其目标是全球1000多家企业的高管,近期的活动主要针对美国和加拿大的高管。

我们将攻击者命名为“Water Nue”,该组织主要窃取财务主管的凭据以进一步进行金融欺诈。网络钓鱼邮件将用户重定向到伪造的Office 365登陆页面。一旦窃取了凭证并成功登陆账户,攻击者会将包含更改了银行信息票据的电子邮件发送给下属,试图通过资金转账请求窃取资金。

追踪Water Nue的活动

攻击组织有几个特点:尽管攻击者能够针对全球的高管,但他们的技术能力有限。虽然他们使用了基本的网络钓鱼工具(即没有后门、木马和其他恶意软件),但他们利用公共云服务执行攻击活动。攻击者利用云服务托管基础设施以混淆攻击活动,使其活动变得难以取证分析,这种策略在网络犯罪活动中已经变得越来越普遍。

我们注意到该活动,是因为网络钓鱼活动中使用了大量的电子邮件域名。我们发现,大多数收件人都在企业中担任很高的职位,特别是财务部门。我们遇到的第一个案例中,一家非洲银行的高级财务官给同事发送了一个PDF票据,并指定了香港的银行账户,该邮件是从攻击者测试过的钓鱼网站的IP地址发送的。

活动正在持续进行,当使用的域名在系统中被检出或被列入黑名单后,攻击者会更换到新的基础设施。

Water Nue活动分析

攻击者使用基于云的电子邮件分发服务(如SendGrid)发送带有链接的电子邮件,受害者点击该链接后会被重定向至伪造的Office 365页面。当用户进行登录时,攻击者通过一个简单PHP脚本就能够记录凭据。

图片[1]-Water Nue网络钓鱼活动针对C-Suite的Office 365账户 – 作者:freebuf1006-安全小百科图1 Water Nue攻击流程

图片[2]-Water Nue网络钓鱼活动针对C-Suite的Office 365账户 – 作者:freebuf1006-安全小百科图2 记录的凭据

虽然这不是新技术,但攻击者却非常成功,在撰写本文时,攻击者已经收集了800多个公司高管的凭据。

账户如何成为网络钓鱼攻击的目标

在7月发送给C级主管的电子邮件中,我们了解到基本的URL是U10450540[.]ct[.]sendgrid[.]net,最终的URL是*getting-panes[.]sfo2*。

图片[3]-Water Nue网络钓鱼活动针对C-Suite的Office 365账户 – 作者:freebuf1006-安全小百科图3 邮件标题“from”字段是纽约和表示“Swiftme@{company domain names}”的各种电子邮件账户

“Swiftme”出现在网络钓鱼邮件的标题中,并且带有伪造公司电子邮件域名的账户名,电子邮件标题和主题也伪装成语音邮件服务。

图片[4]-Water Nue网络钓鱼活动针对C-Suite的Office 365账户 – 作者:freebuf1006-安全小百科图4 电子邮件

需要注意的是,SendGrid平台最初似乎没有附加X-Mailer,具有不同X-Mailer和标题的电子邮件可能是通过工具附加的,下面是我们观察到的一些X-Mailers:

图片[5]-Water Nue网络钓鱼活动针对C-Suite的Office 365账户 – 作者:freebuf1006-安全小百科图片[6]-Water Nue网络钓鱼活动针对C-Suite的Office 365账户 – 作者:freebuf1006-安全小百科图5 仿冒Office 365登陆的钓鱼网站

Water Nue的测试/部署机器的IP地址以纯文本的形式保留在钓鱼站点服务器中,以收集凭据。

图片[7]-Water Nue网络钓鱼活动针对C-Suite的Office 365账户 – 作者:freebuf1006-安全小百科图6 Sitemap

图片[8]-Water Nue网络钓鱼活动针对C-Suite的Office 365账户 – 作者:freebuf1006-安全小百科图7 登陆页面index.html具有虚拟语音功能

图片[9]-Water Nue网络钓鱼活动针对C-Suite的Office 365账户 – 作者:freebuf1006-安全小百科图8 虽然主要的收集功能位于app.js,但C2位置嵌入在JavaScript代码中

图片[10]-Water Nue网络钓鱼活动针对C-Suite的Office 365账户 – 作者:freebuf1006-安全小百科图9 利用jQuery思想将目标凭据发送到托管站点

网络钓鱼页面记录网站访问者的密码,一旦利用被盗的凭据成功登陆账户,攻击者会以高管的身份发送欺诈性的转账请求,诱骗收件人将钱汇入攻击者的账户。

我们发现的BEC邮件的样本都是从相同IP发送的,恶意邮件是具有合法电子邮件标题的票据请求,这是BEC欺诈中常用的策略。

图片[11]-Water Nue网络钓鱼活动针对C-Suite的Office 365账户 – 作者:freebuf1006-安全小百科图10 具有相同源IP的邮件

图片[12]-Water Nue网络钓鱼活动针对C-Suite的Office 365账户 – 作者:freebuf1006-安全小百科图11 BEC电子邮件中伪造的PDF票据

如何防范BEC和其他的网络钓鱼诈骗

与其他的网络犯罪不同,由于针对特定收件人的网络钓鱼和BEC很难检测。攻击者试图攻击电子邮件账户,以获取对业务运营有关的财务信息和其他敏感信息的访问。

以下是如何防止电子邮件欺诈的建议:

  • 对员工进行教育和培训:通过信息安全教育防止企业被入侵,所有员工—从CEO到普通员工,都必须了解各种骗局以及应对措施(即与他人仔细检查并确认邮件的详细信息);
  • 多渠道确认请求:处理敏感信息的员工应该使用验证系统(如多次签署或其他验证方式),谨慎行事;
  • 检查所有电子邮件:警惕包含可疑内容(如可疑的发件人、域名、写作风格、紧急请求)的电子邮件。

上述讨论的情况中,攻击者电子邮件附件中不包含恶意载荷,这种情况下传统的解决方案不能保护账户和系统免受此类攻击,用户可以在电子邮件网关中打开sendgrid [.] net进行检查。

IoC

攻击者C2:

https://highstreetmuch[.]xyz/hug/gate[.]php

https://takeusall[.]online/benzz/gate[.]PHP

ATT&CK矩阵映射

图片[13]-Water Nue网络钓鱼活动针对C-Suite的Office 365账户 – 作者:freebuf1006-安全小百科

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/water-nue-campaign-targets-c-suites-office-365-accounts/

来源:freebuf.com 2020-08-12 16:10:33 by: freebuf1006

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论