Water Nue 攻擊 C-Suite 的 Office 365 帳戶

自2020年3月以來，針對Office 365賬戶使用魚叉式網絡釣魚計劃的一系列正在進行的商業電子郵件泄露(BEC)運動的目標是全球1000多家公司的企業高管。最近的活動針對的是美國和加拿大的高級職位。

這些欺詐者，我們把他們命名為“Water Nue”，主要針對財務主管的賬戶，以獲得進一步財務欺詐的憑證。網絡釣魚電子郵件將用戶重定向到偽造的Office 365登錄頁。一旦獲得憑證并成功侵入賬戶，包含帶有篡改銀行信息的發票文檔的電子郵件就會發送給下屬，試圖通過資金轉賬請求抽走資金。

追蹤Water Nue’s

這場運動背后的威脅因素之所以有趣，有幾個原因。盡管他們能夠在全球范圍內成功瞄準高級員工，但他們的技術能力似乎是有限的。雖然他們的網絡釣魚工具是基本的(即沒有后門、特洛伊木馬和其他惡意軟件)，但他們利用公共云服務進行操作。云服務的使用使他們能夠通過自己在服務中托管基礎設施來混淆他們的運營，從而使他們的活動更難被取證發現。這種策略在網絡罪犯中變得更加常見。

我們首先注意到這一活動是從一大組用于釣魚嘗試的電子郵件域中發起的。我們發現，大多數獲獎者在公司擔任高級職位，特別是在財務部門。在我們最初遇到的其中一個案例中，一家位于非洲的銀行的高級財務官據稱向一位同事發送了一張PDF發票，上面注明了一個在香港的銀行賬戶。這封電子郵件是從攻擊者測試其功能的一個網絡釣魚網站上記錄的IP地址發送的。

這場運動正在進行中，當使用的域名被報告或被列入系統黑名單時，威脅參與者將切換到新的基礎設施。

Water Nue分析

攻擊者使用基于云的電子郵件分發服務（例如SendGrid）來發送具有可單擊鏈接的電子郵件，該鏈接將目標重定向到偽造的Office 365頁面。當目標用戶嘗試登錄時，將通過一個簡單的PHP腳本記錄憑據。

圖1. Water Nue攻擊場景

圖2.記錄的憑證示例

Office 365帳戶是如何成為網絡釣魚攻擊的目標

在7月發送給C級主管的電子郵件中，我們了解到基本域URL為U10450540 [。] ct [。] sendgrid [。] net，最終URL為* getting-panes [。] sfo2 *。

圖3.電子郵件標題“來自”字段顯示紐約和各種電子郵件帳戶，這些帳戶指示“ Swiftme @ {公司域名}”

“ Swiftme”出現在網絡釣魚電子郵件標題中，并帶有帶有偽造公司電子郵件域的帳戶名。顯示的電子郵件標頭“from”和主題也偽裝成語音郵件服務。“ Swiftme”可能是對電子或電匯的致意，并在獲得證書后揭示了競選的目的。

應該注意的是，SendGrid平臺最初似乎并沒有附加X-Mailer。具有不同X-Mailer和標頭的電子郵件可能是通過可能會使掃描引擎混淆的工具附加的。這是我們觀察到的一些X-Mailer：

X-Mailer: Mozilla/5.0 (Windows; U; Win98; de-AT; rv
X-Mailer: Claws Mail 3.7.6 (GTK+ 2.22.0; x86_64-pc-linux-gnu)
X-Mailer: Mozilla 4.7 [en]C-CCK-MCD NSCPCD47 (Win98; I)
X-Mailer: iPhone Mail (8A293)
X-Mailer: Opera7.22/Win32 M2 build 3221
X-Mailer: ZuckMail [version 1.00]
X-Mailer: CommuniGate Pro WebUser v5.3.2

圖4.電子郵件示例

Water Nue的測試/部署機器的原始IP保留在網絡釣魚站點服務器中的純文本文件中，用于收集憑據。

圖6.站點地圖

圖7.登錄頁面index.html具有虛擬語音功能

圖8.雖然主要收集功能位于app.js中，但是命令和控制（C＆C）位置嵌入在JavaScript代碼中

圖9. jQuery方法用于將目標的憑證發布到托管站點

網絡釣魚頁面記錄站點訪問者輸入的密碼。一旦使用受損的憑據成功登錄帳戶，欺詐者便可以將自己標識為主管。然后，他們將發送欺詐性的電匯請求，誘騙接收者將錢匯入犯罪分子的帳戶。

我們發現了從同一IP發送的BEC郵件示例。有問題的電子郵件是具有合法電子郵件標題的發票請求，這是BEC欺詐中使用的已知策略。

圖10.具有相同原始IP的電子郵件樣本

如何防御BEC和其他網絡釣魚詐騙

與其他網絡犯罪方案不同，網絡釣魚和BEC詐騙針對特定的收件人可能很難檢測。攻擊者試圖破壞電子郵件帳戶，以獲取與業務運營有關的財務信息和其他敏感信息。

以下是一些有關如何防止電子郵件欺詐的提示：

• 對員工進行教育和培訓。通過InfoSec教育轉移公司的入侵。從CEO到普通雇員的所有員工，都必須了解各種騙局以及遇到任何情況時的處理方式（例如，與他人仔細檢查并驗證電子郵件詳細信息）。
• 使用其他渠道確認請求。通過在使用敏感信息的員工中遵循驗證系統（例如，多次簽名或其他驗證協議）來謹慎行事。
• 檢查所有電子郵件。警惕包含可疑內容（例如發件人電子郵件，域名，寫作風格和緊急請求）的不規則電子郵件。

在這里討論的情況下，攻擊者電子郵件本身不包括惡意附件的典型惡意軟件payload 方案將無法保護帳戶和系統免受此類攻擊。用戶還可以打開電子郵件網關中發件人“ sendgrid.et”的郵件檢查。

趨勢科技可保護中小型企業和企業免受與網絡釣魚和BEC相關的電子郵件的侵害。Micro?托管電子郵件安全解決方案結合了增強的機器學習功能和專家規則，可以分析電子郵件的標頭和內容，以阻止BEC和其他電子郵件威脅。對于源驗證和身份驗證，它使用發件人策略框架（SPF），域密鑰標識的郵件（DKIM）和基于域的消息身份驗證，報告和一致性（DMARC）。

Micro?云應用程序安全解決方案增強微軟Office 365和其他云服務，通過對BEC和其他高級威脅的沙箱惡意軟件分析的安全性。它使用寫作風格 DNA來檢測BEC假冒行為和計算機視覺，以發現可竊取憑據的網絡釣魚站點。它還通過控制敏感數據的使用來保護云文件共享免受威脅和數據丟失。

危害指標（IoC）

威脅 actor-managed 的C＆C URL：

• highstreetmuch.xyz/hug/gate.php
• takeusall.online/benzz/gate.PHP

MITER ATT＆CK?矩陣映射