返回

使用Google Drive作为其命令和控制服务器发现的新恶意软件

发布时间:2022-04-03 20:35:53 318
# 服务器# 服务器# 恶意软件# 技术# 攻击
macro malware microsoft office
由于大多数安全工具还关注网络流量,以检测恶意IP地址,攻击者越来越多地在攻击中采用合法服务的基础设施来隐藏其恶意活动。

黑暗之神公寓使用Google Drive作为其指挥和控制(C2)服务器的组织。

去年,当At集团利用开源PHISHILY工具进行对中东政府实体和教育机构的凭证收割活动时,DelkDyORUS在去年8月首次问世。

根据360威胁情报中心(360TIC)和帕洛阿尔托网络发布的报告,最新的恶意活动由达克特鲁斯APT集团进行,也针对中东的目标进行了观察。

这一次,高级威胁攻击者正在使用其后门特洛伊木马的新变种,名为罗格罗宾,诱骗受害者打开包含嵌入式VBA宏的Microsoft Excel文档,而不是利用任何Windows零日漏洞,从而感染受害者的计算机。

启用宏会在临时目录中删除恶意文本(.txt)文件,然后利用合法的“regsvr32”。exe的应用程序运行它,最终在受损的系统上安装用C#编程语言编写的RogueRobin后门。
microsoft office macro malware
据Palo Alto研究人员称,RogueRobin包含许多秘密功能,用于检查它是否在沙箱环境中执行,包括检查虚拟化环境、低内存、处理器计数以及系统上运行的常见分析工具。它还包含反调试代码。

与原始版本一样,RogueRobin的新变种也使用DNS隧道—一种通过DNS查询包发送或检索数据和命令的技术—;与其命令和控制服务器通信。

然而,研究人员发现,除了DNS隧道,恶意软件还被设计用于谷歌驱动API作为黑客发送数据和接收命令的替代渠道。
帕洛阿尔托的研究人员说:“RogueRobin会将一个文件上传到Google Drive帐户,并不断检查该文件的修改时间,以查看参与者是否对其进行了任何更改。参与者将首先修改该文件,使其包含一个唯一的标识符,特洛伊木马将用于未来的通信。”。
新的恶意软件活动表明,APT黑客组织正在更倾向于滥用其指挥和控制基础设施的合法服务,以逃避检测。

应该注意的是,由于VBA宏是一项合法功能,大多数防病毒解决方案不会用VBA代码标记任何警告或阻止MS Office文档。

保护自己免受此类恶意软件攻击的最佳方法是始终对通过电子邮件发送的任何未经邀请的文档持怀疑态度,并且除非正确验证其来源,否则永远不要点击这些文档中的链接。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线