Nul
Den DarkHydrus advanced persistent threat (APT) gruppe, der er tilbage, og denne gang er det ikke kun ved hjælp af Windows sårbarheder til at inficere ofre, men er også misbruger Google Drive som en alternativ kommunikationskanal.
I sidste uge, forskere fra 360 Threat Intelligence Center (360TIC) sagde, at hackere har en ny kampagne i gang, der fokuserer på mål i Mellemøsten af politisk værdi.
Også spores som Dovne Surikat af Kaspersky Lab forskere, som har vurderet, at truslen gruppe som både “luskede” og “kreativ”, den seneste DarkHydrus ordningen først blev opdaget efter 360TIC sikret prøver af ondsindede Microsoft Excel-dokumenter på 9 januar 2019.
Skrevet på arabisk, de dokumenter, der indeholder integreret VBA-makroer, som vil udløse, hvis filen åbnes. Makroen vil derefter slip en tekst-filen i en midlertidig mappe, før du bruger den legitime regsvr32.exe til at køre den tekst-fil. Igen, en PowerShell script, der er faldet som udpakker Base64-indhold til at udføre OfficeUpdateService.exe en bagdør er skrevet i C#.
Bagdøren er en interessant vej i spil. En FBF stien har et navn for projektet hedder “DNSProject”, som forskerne siger, “viser, at malware kan udnytte nogle DNS-teknikker til at nå sine mål.”
Se også: Zix erhverver AppRiver i $275 millioner deal
Hvis der er for at opretholde vedholdenhed på maskinen, bagdør, en variant af den RogueRobin Trojan, vil ikke kun skabe nye registreringsdatabasen filer, men vil også beskæftiger anti-analyse teknikker, herunder maskine registrerings-og sandkasse afsløring. Den Trojanske hest også indeholder anti-debug-kode.
Forskere fra Palo Alto sige RogueRobin Trojan indsat i disse angreb ser ud til at være en samlet variant, som vil indsamle og sende stjålne oplysninger om systemet, herunder værtsnavne, at en kommando-og-kontrol (C2) – server via en DNS-tunnel.
Men hvis denne tunnel er ikke tilgængelig, den Trojanske indeholder instruktioner under navnet “x_mode” til at bruge Google Drev, som et alternativ fil server, der fungerer som en backup bør de vigtigste C2 kommunikation rute mislykkes.
CNET: DNC siger, at russiske hackere ramte den med phishing-forsøg efter midterms
“X_mode kommando er som standard deaktiveret, men når den er aktiveret via en kommando er modtaget fra DNS tunneling kanal, det giver RogueRobin at modtage en unik identifikator, og for at få job ved at bruge Google Drev API-anmodninger,” Palo Alto siger.
APT har været aktiv siden i hvert fald 2017, med forskellige credential-høst kampagner. DarkHydrus en tendens til at bruge spyd-phishing-e-mails, som lokke ofrene til at give login-oplysninger via en tilknyttet ‘skabelon’ fil vært på eksterne servere, som styres af angriberne.
DarkHydrus bruger open source-phishing-værktøjer til at skabe ondsindet dokumenter, der kræves af disse angreb, og lokker ofre til at åbne disse filer med navne som “forslag til projekt.”
TechRepublic: Bug bounty-programmer: Alt, hvad du troede, du vidste, der er galt
APT er også menes at være ved hjælp af CVE-2018-8414, en Microsoft Windows-validering vej sikkerhedsrisiko, som kan resultere i kørsel af programkode, når udnyttet.
“I de seneste APT hændelser, mere og mere trussel aktører har en tendens til at vedtage Kontor VBA-makro i stedet for Office nul-dag for vulnerabilit[erne] i betragtning af reduktion af omkostninger,” siger forskerne. “Det anbefales, at brugere med at undgå at åbne[ing] dokumenter fra upålidelige kilder.”
Tidligere og relaterede dækning
Disse ondsindede Android-apps, som vil kun ramme, når du flytter din smartphone
Microsoft lancerer Azure DevOps bug bounty program, $20,000 belønninger på tilbud
Oklahoma gov data lækage afslører FBI undersøgelse poster, millioner af afdelingen filer
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0