Nul
De DarkHydrus advanced persistent threat (APT) – groep is terug en dit keer is het niet alleen het gebruik van Windows kwetsbaarheden te infecteren slachtoffers, maar ook misbruik van Google Drive als een alternatief communicatiekanaal.
Vorige week hebben onderzoekers van de 360 Threat Intelligence Center (360TIC) zei dat de hackers hebben een nieuwe campagne, die is gericht op doelen in het Midden-Oosten van de politieke waarde.
Ook bijgehouden Lui Meerkat door Kaspersky Lab onderzoekers, die geacht wordt de dreiging van de groep als zowel de “stiekeme” en “creatief” de laatste DarkHydrus regeling werd voor het eerst gespot na 360TIC beveiligd monsters van schadelijke Microsoft Excel-documenten op 9 januari 2019.
Geschreven in het arabisch, de documenten bevatten ingesloten VBA-macro ‘ s, die zal leiden tot als het bestand wordt geopend. De macro zal dan vallen een tekst bestand naar een tijdelijke map voordat u gebruik te maken van de legitieme regsvr32.exe voor het uitvoeren van de tekst-bestand. Op zijn beurt, een PowerShell script is gedaald dat pakt Base64 content uit te voeren OfficeUpdateService.exe een backdoor geschreven in C#.
De achterdeur heeft een interessante route in te spelen. Een VOB-pad is de naam van een project genaamd “DNSProject” die de onderzoekers zeggen “illustreert dat de malware kan gebruik maken van bepaalde DNS-technieken om zijn doel te bereiken.”
Zie ook: Zix verwerft AppRiver in 275 miljoen dollar deal
Als set te handhaven persistentie op de machine, door de achterdeur, een variant van de RogueRobin Trojan, zal niet alleen het creëren van nieuwe register bestanden, maar zal ook gebruik gemaakt van anti-analyse-technieken waaronder automatische detectie en de sandbox-detectie. De Trojan bevat ook anti-debug-code.
Onderzoekers van Palo Alto zeggen de RogueRobin Trojan ingezet in deze aanvallen lijkt te zijn van een samengesteld variant die zullen verzamelen en verzenden gestolen systeem informatie, met inbegrip van hostnamen, een command-and-control (C2) – server een DNS tunnel.
Echter, als deze tunnel is niet beschikbaar, het Trojan bevat instructies onder de naam “x_mode” Google Drive gebruiken als een alternatief bestand server die fungeert als een back-up moet de belangrijkste C2 communicatie route mislukken.
CNET: DNC zegt de russische hackers raken met phishing-poging na tussentijdse verkiezingen
“De x_mode opdracht is standaard uitgeschakeld, maar wanneer ingeschakeld via een opdracht ontvangen van de DNS-tunneling kanaal, het kan RogueRobin voor het ontvangen van een unieke identificator en taken door middel van Google Drive API-verzoeken,” Palo Alto zegt.
De APT is actief sinds minstens 2017 met verschillende identificatie-oogsten campagnes. DarkHydrus neiging om gebruik te maken van spear-phishing e-mails die lokken slachtoffers te bieden inloggegevens via een aangesloten ‘template’ bestand dat wordt gehost op servers op afstand gecontroleerd door de aanvallers.
DarkHydrus maakt gebruik van open-source-phishing tools voor het maken van de schadelijke documenten vereist door deze aanvallen en lokt slachtoffers voor het openen van deze bestanden met namen zoals “project voorstel.”
TechRepublic: Bug bounty ‘programma’ s: Alles wat je dacht dat je wist dat het verkeerd is
De APT is ook van mening te zijn met de CVE-2018-8414, een Microsoft Windows-validatie pad kwetsbaarheid die kan leiden tot uitvoering van externe code als geëxploiteerd.
“In de afgelopen APT-incidenten, meer en meer dreiging actoren hebben de neiging vast te stellen Office VBA-macro in plaats van Office zero-day vulnerabilit[ies] in de overweging van kostenbesparing,” zeggen de onderzoekers. “Het wordt aanbevolen dat gebruikers vermijd open[ing] documenten van bronnen die u niet vertrouwt.”
Vorige en aanverwante dekking
Deze kwaadaardige Android apps zullen alleen strike wanneer u uw smartphone
Microsoft lanceert Azure DevOps bug bounty ‘ programma, $20.000 en beloningen te bieden
Oklahoma gov lekken van gegevens bloot FBI onderzoek records, miljoenen afdeling bestanden
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0