Aktor ancaman yang relatif baru gunakan alat open-source untuk serangan phishing yang dirancang untuk mencuri kredensial dari pemerintah dan lembaga pendidikan di Timur Tengah.
Kelompok ini dilacak sebagai DarkHydrus oleh para peneliti di Palo Alto Networks Unit 42, yang mengamatinya menggunakan Phishery dalam serangan harvesting kredensial baru-baru ini. Serangan yang diluncurkan terdeteksi menggunakan Meterpreter, Cobalt Strike, Invoke-Obfuscation, Mimikatz, PowerShellEmpire, dan Veil. Metode yang umum digunakan adalah memalsukan dokumen Office yang mengambil kode berbahaya dari situs secara remote ketika dijalankan.
Dalam serangan pada bulan Juni, DarkHydrus menargetkan entitas pendidikan dengan email yang membawa baris subjek “Project Offer,” dan memiliki dokumen Word sebagai lampiran. Setelah dokumen Word diluncurkan, itu mendorong pengguna untuk memasukkan nama pengguna dan kata sandi mereka dalam sebuah permintaan otentikasi. Jika mereka melakukan itu, kredensial akan dikirim langsung ke server command-and-control dari pelaku kejahatan.
Semua ini tampaknya sah untuk orang yang tidak sadar, terutama karena kotak dialog menunjukkan koneksi ke domain yang cukup akrab.
“Pertama, subdomain yang disunting adalah domain dari institusi pendidikan yang ditargetkan,” kata para peneliti. “Selain itu, domain penyerang ‘0utl00k[.]net’ menyerupai domain ‘outlook[.]com’ milik Microsoft yang sah yang menyediakan layanan email gratis, yang juga membuat pengguna kurang curiga dan cenderung memasukkan kredensial mereka.”
Sementara dokumen yang digunakan dalam serangan ini kosong dan dapat menimbulkan kecurigaan, ini bukan pertama kalinya kelompok menggunakan teknik ini. Pada akhir 2017, dua file Word berbeda menggunakan domain yang sama menarik perhatian para ahli. Keduanya menunjukkan konten yang relevan dengan target; salah satunya adalah survei karyawan dan yang lainnya formulir penyerahan kata sandi.
Sebuah tren yang menjadi
Menyalahgunakan alat yang sah bukanlah hal baru bagi para pelaku ancaman. Perambatan cepat WannaCry dan NotPetya tahun lalu adalah karena Mimikatz, yang digunakan untuk mengambil kata sandi, dan PsExec, yang digunakan untuk eksekusi perintah secara remote pada sistem yang terpengaruh.
Jika tidak ada yang lain, menggunakan utilitas yang tersedia sudah berubah menjadi sesuatu yang sedang tren. Sebagai contoh, kelompok pencurian bank FIN7 yang terkenal membangun malware kustom mereka dengan perangkat lunak emulasi ancaman Cobalt Strike.
Â
