Noll
Den DarkHydrus avancerade ihållande hot (APT) – gruppen är tillbaka och den här gången är inte bara använder Windows vulnerabilities att infektera offer men är också missbrukar Google Drive som en alternativ kommunikationskanal.
Förra veckan, forskare från 360 Threat Intelligence Center (360TIC) sa hackare har en ny kampanj på gång som fokuserar på mål i Mellanöstern politiska värde.
Även spårat som Lata Meerkat av Kaspersky Lab forskare, som har bedömt hotet grupp som både “lömsk” och “kreativ”, den senaste DarkHydrus system var först såg efter 360TIC säkrade prover av skadliga Microsoft Excel-dokument på den 9 januari 2019.
Skriven på arabiska, det dokument som innehåller inbäddade VBA-makron som kommer att utlösa om filen öppnas. Makrot kommer sedan att släppa en text-filen i en temporär katalog innan du använder den legitima regsvr32.exe för att köra en text-fil. I sin tur, ett PowerShell-skript släpps som packar upp Base64 content för att utföra OfficeUpdateService.exe en bakdörr som skrivs i C#.
Bakdörren har en intressant väg i spela. Ett PBF vägen har ett projekt med namnet “DNSProject” som forskarna säger “visar att skadlig kod kan utnyttja vissa DNS-tekniker för att uppnå sitt mål.”
Se även: Zix förvärvar AppRiver i $275 miljoner affär
Om den är satt att upprätthålla uthållighet på maskinen, bakdörr, en variant av RogueRobin Trojan, kommer inte bara att skapa nya registret filer, men kommer också att använda anti-metoder för analys av bland annat maskin upptäckt och sandlåda upptäckt. Den Trojanska innehåller även anti-debug-kod.
Forskare från Palo Alto säga RogueRobin Trojan utplacerade i dessa attacker verkar vara en färdig variant som kommer att samla in och skicka stulna system information, inklusive värdnamn till en kommando-och-kontroll (C2) – server via en DNS-tunnel.
Men om denna tunnel är inte tillgänglig, den Trojanska innehåller instruktioner under namnet “x_mode” för att använda Google Drive som en alternativ fil server som fungerar som en backup om det huvudsakliga C2 kommunikation väg att misslyckas.
CNET: DNC säger ryska hackare slog det med phishing-försök efter midterms
“X_mode kommandot är inaktiverat som standard, men när den är aktiverad via ett kommando fått från DNS-tunnling kanal, det gör RogueRobin att få en unik identifierare och för att få jobb genom att använda Google Drive API-förfrågningar,” Palo Alto säger.
APT har varit aktiv sedan minst 2017 med olika referens-skörd kampanjer. DarkHydrus tenderar att använda spear-phishing e-postmeddelanden som lockar offer för att tillhandahålla inloggningsuppgifter via en ansluten “mall” – fil som lagras på externa servrar som kontrolleras av angriparna.
DarkHydrus använder öppen källkod phishing verktyg för att skapa skadliga handlingar som krävs i dessa attacker och lockar offer för att öppna dessa filer med namn som “projekt förslag.”
TechRepublic: Bug bounty program: Allt du trodde du kände är fel
APT är också tros vara till hjälp CVE-2018-8414, en Microsoft Windows-valideringen väg sårbarhet som kan medföra fjärrkörning av kod när den utnyttjas.
“Under de senaste APT incidenter, mer och mer hot aktörer tenderar att anta Office VBA-makro i stället för Office zero-day om vulnerabilit[ies] i behandlingen av minskade kostnader,” forskarna säger. “Det är rekommenderat att användarna att undvika öppna[ing] dokument från opålitliga källor.”
Tidigare och relaterade täckning
Dessa skadliga Android-appar kommer att bara slå när du flyttar din smartphone
Microsoft lanserar Azure DevOps bug bounty program, $20,000 belöningar som erbjuds
Oklahoma gov data läcka avslöjar FBI-utredning poster, miljontals institutionen filer
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0