Water Nue 攻击 C-Suite 的 Office 365 帐户

自2020年3月以来，针对Office 365账户使用鱼叉式网络钓鱼计划的一系列正在进行的商业电子邮件泄露(BEC)运动的目标是全球1000多家公司的企业高管。最近的活动针对的是美国和加拿大的高级职位。

这些欺诈者，我们把他们命名为“Water Nue”，主要针对财务主管的账户，以获得进一步财务欺诈的凭证。网络钓鱼电子邮件将用户重定向到伪造的Office 365登录页。一旦获得凭证并成功侵入账户，包含带有篡改银行信息的发票文档的电子邮件就会发送给下属，试图通过资金转账请求抽走资金。

追踪Water Nue’s

这场运动背后的威胁因素之所以有趣，有几个原因。尽管他们能够在全球范围内成功瞄准高级员工，但他们的技术能力似乎是有限的。虽然他们的网络钓鱼工具是基本的(即没有后门、特洛伊木马和其他恶意软件)，但他们利用公共云服务进行操作。云服务的使用使他们能够通过自己在服务中托管基础设施来混淆他们的运营，从而使他们的活动更难被取证发现。这种策略在网络罪犯中变得更加常见。

我们首先注意到这一活动是从一大组用于钓鱼尝试的电子邮件域中发起的。我们发现，大多数获奖者在公司担任高级职位，特别是在财务部门。在我们最初遇到的其中一个案例中，一家位于非洲的银行的高级财务官据称向一位同事发送了一张PDF发票，上面注明了一个在香港的银行账户。这封电子邮件是从攻击者测试其功能的一个网络钓鱼网站上记录的IP地址发送的。

这场运动正在进行中，当使用的域名被报告或被列入系统黑名单时，威胁参与者将切换到新的基础设施。

Water Nue分析

攻击者使用基于云的电子邮件分发服务（例如SendGrid）来发送具有可单击链接的电子邮件，该链接将目标重定向到伪造的Office 365页面。当目标用户尝试登录时，将通过一个简单的PHP脚本记录凭据。

图1. Water Nue攻击场景

图2.记录的凭证示例

Office 365帐户是如何成为网络钓鱼攻击的目标

在7月发送给C级主管的电子邮件中，我们了解到基本域URL为U10450540 [。] ct [。] sendgrid [。] net，最终URL为* getting-panes [。] sfo2 *。

图3.电子邮件标题“来自”字段显示纽约和各种电子邮件帐户，这些帐户指示“ Swiftme @ {公司域名}”

“ Swiftme”出现在网络钓鱼电子邮件标题中，并带有带有伪造公司电子邮件域的帐户名。显示的电子邮件标头“from”和主题也伪装成语音邮件服务。“ Swiftme”可能是对电子或电汇的致意，并在获得证书后揭示了竞选的目的。

应该注意的是，SendGrid平台最初似乎并没有附加X-Mailer。具有不同X-Mailer和标头的电子邮件可能是通过可能会使扫描引擎混淆的工具附加的。这是我们观察到的一些X-Mailer：

X-Mailer: Mozilla/5.0 (Windows; U; Win98; de-AT; rv
X-Mailer: Claws Mail 3.7.6 (GTK+ 2.22.0; x86_64-pc-linux-gnu)
X-Mailer: Mozilla 4.7 [en]C-CCK-MCD NSCPCD47 (Win98; I)
X-Mailer: iPhone Mail (8A293)
X-Mailer: Opera7.22/Win32 M2 build 3221
X-Mailer: ZuckMail [version 1.00]
X-Mailer: CommuniGate Pro WebUser v5.3.2

图4.电子邮件示例

Water Nue的测试/部署机器的原始IP保留在网络钓鱼站点服务器中的纯文本文件中，用于收集凭据。

图6.站点地图

图7.登录页面index.html具有虚拟语音功能

图8.虽然主要收集功能位于app.js中，但是命令和控制（C＆C）位置嵌入在JavaScript代码中

图9. jQuery方法用于将目标的凭证发布到托管站点

网络钓鱼页面记录站点访问者输入的密码。一旦使用受损的凭据成功登录帐户，欺诈者便可以将自己标识为主管。然后，他们将发送欺诈性的电汇请求，诱骗接收者将钱汇入犯罪分子的帐户。

我们发现了从同一IP发送的BEC邮件示例。有问题的电子邮件是具有合法电子邮件标题的发票请求，这是BEC欺诈中使用的已知策略。

图10.具有相同原始IP的电子邮件样本

如何防御BEC和其他网络钓鱼诈骗

与其他网络犯罪方案不同，网络钓鱼和BEC诈骗针对特定的收件人可能很难检测。攻击者试图破坏电子邮件帐户，以获取与业务运营有关的财务信息和其他敏感信息。

以下是一些有关如何防止电子邮件欺诈的提示：

• 对员工进行教育和培训。通过InfoSec教育转移公司的入侵。从CEO到普通雇员的所有员工，都必须了解各种骗局以及遇到任何情况时的处理方式（例如，与他人仔细检查并验证电子邮件详细信息）。
• 使用其他渠道确认请求。通过在使用敏感信息的员工中遵循验证系统（例如，多次签名或其他验证协议）来谨慎行事。
• 检查所有电子邮件。警惕包含可疑内容（例如发件人电子邮件，域名，写作风格和紧急请求）的不规则电子邮件。

在这里讨论的情况下，攻击者电子邮件本身不包括恶意附件的典型恶意软件payload 方案将无法保护帐户和系统免受此类攻击。用户还可以打开电子邮件网关中发件人“ sendgrid.et”的邮件检查。

趋势科技可保护中小型企业和企业免受与网络钓鱼和BEC相关的电子邮件的侵害。Micro™托管电子邮件安全解决方案结合了增强的机器学习功能和专家规则，可以分析电子邮件的标头和内容，以阻止BEC和其他电子邮件威胁。对于源验证和身份验证，它使用发件人策略框架（SPF），域密钥标识的邮件（DKIM）和基于域的消息身份验证，报告和一致性（DMARC）。

Micro™云应用程序安全解决方案增强微软Office 365和其他云服务，通过对BEC和其他高级威胁的沙箱恶意软件分析的安全性。它使用写作风格 DNA来检测BEC假冒行为和计算机视觉，以发现可窃取凭据的网络钓鱼站点。它还通过控制敏感数据的使用来保护云文件共享免受威胁和数据丢失。

危害指标（IoC）

威胁 actor-managed 的C＆C URL：

• highstreetmuch.xyz/hug/gate.php
• takeusall.online/benzz/gate.PHP

MITER ATT＆CK®矩阵映射