Zero
Il DarkHydrus advanced persistent threat (APT), il gruppo è tornato e questa volta non è solo utilizzando le vulnerabilità di Windows per infettare le vittime, ma è anche per abusare di Google Drive come canale di comunicazione alternativo.
La scorsa settimana, i ricercatori della 360 Threat Intelligence Center (360TIC) ha detto che gli hacker hanno una nuova campagna in corso si concentra su obiettivi per il Medio Oriente del valore politico.
Anche rintracciato Pigro Meerkat da Kaspersky Lab ricercatori, che ha stimato la minaccia di gruppo sia come “subdolo” e “creativo”, l’ultimo DarkHydrus schema è stato avvistato dopo 360TIC protetto campioni di malware documenti di Microsoft Excel, il 9 gennaio 2019.
Scritti in arabo, i documenti contengono i macro VBA, che determinerà se il file è aperto. La macro poi cadere in un file di testo in una directory temporanea prima di utilizzare il legittimo regsvr32.exe per eseguire il file di testo. A sua volta, uno script di PowerShell è caduto che scompatta il contenuto Base64 per eseguire OfficeUpdateService.exe una backdoor scritto in C#.
La backdoor è un interessante percorso di gioco. PDB percorso ha il nome di un progetto chiamato “DNSProject” che-dicono i ricercatori – “dimostra che il malware può utilizzare alcune DNS tecniche per raggiungere il suo obiettivo.”
Vedi anche: Zix acquisisce AppRiver in $275 milioni di quantità
Se impostato a mantenere la persistenza della macchina, backdoor, una variante del RogueRobin Trojan, non solo di creare nuovi file del registro di sistema, ma anche di impiegare anti-tecniche di analisi tra cui macchina per il rilevamento e la sandbox di rilevamento. La Troia contiene anche anti-debug del codice.
I ricercatori di Palo Alto non dire RogueRobin Trojan distribuito in questi attacchi sembra essere compilato variante che consentirà di raccogliere e inviare il furto di informazioni di sistema, compresi i nomi di host, di un comando e controllo (C2) server DNS tunnel.
Tuttavia, se questo tunnel non è disponibile, Trojan contiene le istruzioni sotto il nome di “x_mode” per utilizzare Google Drive come alternativa file server che agisce come una copia di backup principale C2 via di comunicazione esito negativo.
CNET: DNC dice hacker russi ha colpito con il phishing sforzo dopo midterms
“Il x_mode comando è disabilitato per impostazione predefinita, ma quando è attivato tramite un comando ricevuto dal DNS di tunneling canale, permette RogueRobin per ricevere un codice di identificazione univoco per ottenere posti di lavoro utilizzando Google Drive richieste di API,” Palo Alto, dice.
L’APT è stato attivo almeno dal 2017 con diverse credenziali di raccolta campagne. DarkHydrus tende a utilizzare spear-phishing che attirare le vittime a fornire i dettagli di login attraverso un allegato “modello” file ospitato su un server remoto controllato dagli aggressori.
DarkHydrus utilizza open-source di phishing strumenti per creare dannoso documenti richiesti da questi attacchi e invita le vittime di aprire questi file con nomi come “proposta di progetto.”
TechRepublic: Bug bounty programmi: Tutto ciò che pensavi di sapere è sbagliato
L’APT è anche creduto di essere utilizzando CVE-2018-8414, Microsoft Windows convalida percorso di vulnerabilità che può causare l’esecuzione di codice remoto quando sfruttato.
“Negli ultimi APT incidenti, più e più minacce attori tendono ad adottare macro VBA di Office invece di Office zero-day vulnerabilità rispetto[ies] in considerazione della riduzione dei costi,” dicono i ricercatori. “Si consiglia agli utenti di evitare di aprire[ing] i documenti provenienti da fonti non attendibili.”
Precedente e relativa copertura
Questi programmi Android apps solo colpo quando si sposta il vostro smartphone
Microsoft lancia Azure DevOps bug bounty program, 20.000 dollari di premi in offerta
Oklahoma gov perdita di dati espone FBI indagine record, milioni di reparto file
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0