你知道么，你常用的Office已經(jīng)引起了網(wǎng)絡**的注意，他們發(fā)起釣魚活動專門攻擊這個平臺。

最近，一場看似簡單的Office 365網(wǎng)絡釣魚活動引起了我們的注意。攻擊者濫用Adobe的廣告重定向機制，使用一個三星域名將受害者重定向到一個O365主題的釣魚網(wǎng)站。

通過分析發(fā)現(xiàn)，黑客們正是利用安全軟件不會阻止他們進入像三星這樣信譽良好的域名這一事實。

為了擴大攻擊范圍，攻擊者還侵入了幾個網(wǎng)站，注入了一個模仿Adobe重定向服務提供的相同機制的腳本。

進一步的調(diào)查顯示，攻擊背后的參與者使用了一些其他有趣的技巧來隱藏釣魚工具包，并避免在攻擊的每個階段被發(fā)現(xiàn)。

這份報告將描述我們對Office 365釣魚活動的發(fā)現(xiàn)，該活動使用受信任的服務來發(fā)起新的攻擊。

漏洞利用

Adobe和三星在漏洞利用中都沒有受到攻擊，三星，Adobe的廣告服務可以用來管理不一定屬于公司營銷活動的廣告活動。

重定向機制將用戶重定向到他們剛剛單擊的URL中指定的目的地，例如，這允許廣告**在將用戶重定向到一個廣告頁面之前，通過記錄每次成功的訪問來衡量和**正在進行的廣告活動。

攻擊流程

2020年4月上旬，我們檢測到網(wǎng)絡釣魚活動，該網(wǎng)絡釣魚活動向受害者發(fā)送了“丟失的語音消息”電子郵件。這些攻擊中約有43％是針對歐洲公司的，其余的則集中在亞洲和中東。

電子郵件提示用戶點擊一個按鈕，據(jù)稱該按鈕會將他們重定向到其Office 365帳戶。

這些電子郵件使用一些非常基本的自定義功能，例如帶有目標域名的主題行以及電子郵件正文中包含的用戶名。

盡管頂部顯示“來自受信任服務器的消息”通知，但保持警惕的用戶仍會注意到一些不準確之處。以下是其中一封釣魚郵件的例子:

Office 365語音郵件網(wǎng)絡釣魚電子郵件

在受害者點擊了這個按鈕后，他們被重定向到一個偽裝成Office 365登錄頁面的釣魚頁面。

在后臺，這種重定向包括兩個階段：

第一階段濫用了合法域名上現(xiàn)有的重定向方案(比如samsung [.]ca)；

第二階段將用戶重定向到一個受攻擊的WordPress網(wǎng)站。

網(wǎng)絡釣魚攻擊方案

大多數(shù)電子郵件來自多個生成的地址，這些地址屬于英國牛津大學不同部門的合法子域。

xXbxiFzmbHpUBkFgaDKrcNFFwDwzmIDJEaHlPAEsgFqxaInjJX@paediatrics.ox.ac.uk

在這個攻擊中使用的一個自動生成的電子郵件地址的例子。

郵件標題顯示，攻擊者找到了一種方法來濫用牛津的一個**TP服務器。

郵件源自Nord** IP地址194.35.233.10，

然后被發(fā)送到Oxford **TP服務器和Oxford中繼服務器，

具體過程如下圖所示：

使用合法的Oxford **TP服務器允許攻擊者通過對發(fā)送者域的信譽檢查。

此外，沒有必要為了發(fā)送釣魚郵件而破壞實際的電子郵件帳戶，因為他們可以生成他們想要的電子郵件地址。

第一階段：濫用三星電子郵件重定向

使用Adobe Campaign開放重定向的技術最初于2019年9月在Adobe自己的域名上被發(fā)現(xiàn)。在過去的幾個月里，它被廣泛用于網(wǎng)絡釣魚。

為了逃避檢測，攻擊者濫用開放和著名的Adobe活動服務器，將潛在受害者重定向到他們自己的釣魚網(wǎng)站。

這意味著，釣魚郵件中嵌入的鏈接是可信域的一部分，它會在不知情的情況下將受害者重定向到釣魚網(wǎng)站。

在本文的示例下，Adobe活動服務器位于加拿大。

http://t.email1.samsung[.]ca/r/?id=ff1b346f,303d531,303d53e&p1=8107023398&p2=8107023398&p3=DM15290&p4=https://compromised.site#user@company.com

**作過程

t.email1.samsung[.]ca是三星位于加拿大電子郵件活動的子域，它托管一個Adobe活動服務器。特別設計的URL包含一個名為p4的參數(shù)，它為每個受害者提供不同的重定向目的地。

在我們的案例中，攻擊者從一個古老但合法的三星“網(wǎng)絡星期一”主題電子郵件活動中獲取了現(xiàn)有鏈接，該活動可以追溯到2018年。

通過改變p4參數(shù)，他們將受害者重定向到他們控制的域名，而不是原來的http://samsung.com/ca/：

http://t.email1.samsung.ca/r/?id=hf1b346f,303d531,303d53e&p1=8107023398&p2=8107023398&p3=DM15290&p4=http://www.samsung.com/ca/?mkm_rid=8107023398&mkm_mid=DM15290&cid=ca_email_newsletter_holidaycybermonday_20181126_fr-x-x-viewproducts-x-x

通過使用特定的Adobe Campaign鏈接格式和合法域名，攻擊者增加了電子郵件繞過基于信譽、黑名單和URL模式的電子郵件安全解決方案的機會。

但是，這并不是第一次將基于三星基礎架構的Adobe Campaign用作網(wǎng)絡釣魚的中繼。

據(jù)urlscan稱，自2020年2月以來，t.info.samsungusa[.]com域已用于與網(wǎng)絡釣魚相關的重定向。

第二階段：將用戶重定向到一個受攻擊的WordPress網(wǎng)站

重定向的第二層目的是用于將最終的釣魚頁面與原始電子郵件隔開。在本文的案例中，攻擊者使用了幾個包含惡意重定向代碼的受攻擊的WordPress網(wǎng)站。

引入另一個重定向?qū)邮构粽吣軌蚶@過調(diào)查電子郵件內(nèi)鏈接的安全解決方案。因此，郵件中的URL指向一個WordPress網(wǎng)站，而不是一個可疑的釣魚頁面。

重定向代碼，它被添加到受害網(wǎng)站的主頁HTML代碼，也檢查請求的URL是否包含#符號后面的電子郵件地址。

如果滿足這個條件，它會將受害者重定向到最終的釣魚工具包。

在受攻擊的WordPress網(wǎng)站上重定向代碼

因此，只有在鏈接中具有電子郵件地址的用戶才會被重定向，而直接進入WordPress網(wǎng)站的用戶則不會注意到任何更改，這個技巧可以防止網(wǎng)站所有者發(fā)現(xiàn)他們的頁面被濫用。

更多的重定向

在攻擊開始幾天后，攻擊者將郵件中的URL更改為以下地址：

http://t-email1.ottawashowers[.]ca/r/?id=ff1b346f,303d531,303d53e&p1=8107023398&p2=8107023398&p3=DM15290&p4=https://compromised.site&p5=user@company.com

這一次，受感染的WordPress網(wǎng)站是ottawashowers[.]ca。攻擊者在/r/文件夾中設置了子域名t-email1和重定向腳本，以模擬Adobe Campaign URL。此時，原始三星活動的參數(shù)保持不變。

可以看出，t-email1.ottawashowers[.]ca表明了這個攻擊的目標

帶有受感染的WordPress網(wǎng)站的網(wǎng)絡釣魚攻擊方案，用于首次重定向

在后續(xù)的攻擊中，攻擊者將重定向方法更改為**于特定域或Adobe Campaign服務器。他們發(fā)起攻擊并在多個WordPress網(wǎng)站上設置了類似的重定向（要查看完整列表，請訪問附錄）。

具有不同重定向服務器的攻擊時間表

除了更改重定向域之外，攻擊者還開始更改URL中的其他（以前是恒定的）參數(shù)，同時保留了基本的Adobe URL結構。這些參數(shù)用于檢查鏈接的完整性，并避免被基于模式的引擎（不會自動阻止所有Adobe Campaign重定向）檢測到。如果在此鏈接中手動更改了參數(shù)，則服務器將返回消息：AUTH FAILED。

在一個被攻擊的WordPress網(wǎng)站上的Opendir包含了新創(chuàng)建的重定向文件夾r/

在一個被攻擊的WordPress網(wǎng)站上的Opendir包含了新創(chuàng)建的重定向文件夾r/

網(wǎng)絡釣魚工具

最終的釣魚工具被放置在受感染的WordPress網(wǎng)站上，在某些情況下，釣魚工具被放置在看起來像微軟登錄頁面的網(wǎng)站上。每個受害者都創(chuàng)建了一個單獨的虛擬目錄，因此每個受害者的最終URL是不同的，即使在同一臺服務器上也是如此。

Microsoft網(wǎng)絡釣魚頁面

釣魚網(wǎng)頁的大部分HTML代碼是由JavaScript生成的，釣魚頁面被分成多個部分，每個部分都用多字節(jié)XOR進行了混淆。例如，HTML頁面的

被仿冒網(wǎng)頁的一部分

對第一個eval()語句進行解碼將揭示解碼函數(shù)，如下所示：

十六進制解碼后的第一個eval()語句

這個解碼函數(shù)從參數(shù)中提取已編碼的數(shù)據(jù)(存儲在tmp[0]中)和異或密鑰(存儲在tmp[1]中)，并在數(shù)據(jù)和密鑰之間執(zhí)行異或(在上面的代碼中執(zhí)行循環(huán))。

第二個eval()語句調(diào)用這個解碼函數(shù)，并用document.write()將最終的HTML寫入頁面：

十六進制解碼后的第二個eval()語句

解碼后的HTML代碼

生成的HTML代碼意味著所有頁面看起來都相同，但是它們具有完全不同的源代碼。與混淆一起使用，此方法有助于從安全軟件中隱藏代碼及其惡意內(nèi)容。

總結

在此攻擊活動中，攻擊者在每個階段使用多種機制繞過安全解決方案。

1. 利用牛津的電子郵件服務器發(fā)送垃圾郵件，可以使它們繞過發(fā)件人信譽過濾器并使用生成的電子郵件帳戶，而不是攻擊實際帳戶。

2. 郵件中的鏈接指向三星擁有的一個信譽很高的域名。

3. 一連串的重定向會導致一個完全混淆的釣魚頁面。

在短暫的活動期間，攻擊者不斷開發(fā)和改進了重定向方法，使其不依賴于特定域和Adobe Campaign服務器。

目前，Adobe已經(jīng)采取了相關措施，以防止黑客通過其服務器對所有客戶發(fā)起此類攻擊。

附錄

重定向的服務器：

t.email1.samsung[.]ca/r/
t-email1.ottawashowers[.]ca/r/
t-email1.instantytpresence[.]com/r/
flycloud.co[.]il/r/
co**os.org[.]in/r/
iyak.org[.]tr/o/
ankit-gupta.co[.]in/r/
istern.co[.]il/r/

托管Office 365網(wǎng)絡釣魚工具包或中間重定向的受攻擊WP網(wǎng)站：

junestore[.]club
popskill[.]net
yourhindinews[.]com
mrdigitalduniya[.]com
vrpublicnews[.]com
learndigitalseo[.]com
ghassociates.co[.]in
yournewstv[.]com
codewithjustin[.]com
pretrendy[.]com
dalelaganj[.]com
getfasternews[.]com
bloggingthenews[.]com
wpbasket.co[.]il
acornmagic[.]club
heaccountabilitycollective[.]com
legaltax[.]in
cbcvietnam[.]org
zeriio[.]com
ww.indoxxi[.]pl
espinozaweb[.]net
rumahcendekiaunj[.]com
beatanyinvestment[.]club
activedomain53[.]com
absoluteaesthetics.co[.]uk
tremplinedu[.]com
iamkongu[.]com
www.kwentongnoypi[.]com

本文翻譯自：https://research.checkpoint.com/2020/phishing-campaign-exploits-samsung-adobe-and-oxford-servers/如需轉(zhuǎn)載，請注明原文地址；

我是安仔，一名剛?cè)肼毦W(wǎng)絡安全圈的網(wǎng)安萌新，歡迎關注我，跟我一起成長；私信回復【入群】，加入安界網(wǎng)大咖交流群，跟我一起討論漏洞復現(xiàn)和解決問題~

小白入行網(wǎng)絡安全、混跡安全行業(yè)找大咖，以及更多成長干貨資料，歡迎關注#安界網(wǎng)人才培養(yǎng)計劃#、#網(wǎng)絡安全在我身邊#、@安界人才培養(yǎng)計劃。

本文原作者為陳繪冰，轉(zhuǎn)載請注明：出處！如該文有不妥之處，請聯(lián)系站長刪除，謝謝合作~