Вредоносное ПО

Обнаружено новое вредоносное ПО, использующее Google Drive в качестве сервера управления

вирусы сеть ТОР браузер
Поскольку большинство средств безопасности также отслеживают сетевой трафик для обнаружения вредоносных IP-адресов, злоумышленники все чаще используют в своих атаках инфраструктуру легальных служб, чтобы скрыть свою вредоносную деятельность.

Исследователи кибербезопасности  обнаружили новую кампанию по атаке вредоносных программ, связанную с пресловутой группой DarkHydrus APT, которая использует Google Drive в качестве сервера управления и контроля .

DarkHydrus впервые появился на свет в августе прошлого года, когда группа APT использовала инструмент фишеризации с открытым исходным кодом для проведения кампании по сбору учетных данных против правительственных учреждений и образовательных учреждений на Ближнем Востоке.

Последняя вредоносная кампания, проведенная группой APT DarkHydrus, также наблюдалась в отношении целей на Ближнем Востоке, согласно отчетам, опубликованным  Palo Alto Networks.

На этот раз  злоумышленники используют новый вариант своего бэкдора-трояна RogueRobin, который заражает компьютеры жертв, заставляя их открывать документ Microsoft Excel, содержащий встроенные макросы VBA, вместо того, чтобы использовать какую-либо уязвимость Windows нулевого дня.

Включение макроса сбрасывает вредоносный текстовый файл (.txt) во временный каталог, а затем использует легитимное приложение regsvr32.exe для его запуска, в конечном итоге устанавливая бэкдор RogueRobin, написанный на языке программирования C #, на скомпрометированную систему.

По словам исследователей из Пало-Альто, RogueRobin включает в себя множество скрытых функций для проверки его выполнения в среде песочницы, включая проверку виртуализированных сред, нехватку памяти, количество процессоров и общие инструменты анализа, работающие в системе. Он также содержит анти-отладочный код.

Как и в оригинальной версии, новый вариант RogueRobin также использует туннелирование DNS — метод отправки или извлечения данных и команд через пакеты запросов DNS — для связи с его сервером управления и контроля.

Однако исследователи обнаружили, что помимо туннелирования DNS вредоносное ПО также было разработано для использования API Google Drive в качестве альтернативного канала для отправки данных и получения команд от хакеров.


«RogueRobin загружает файл в учетную запись Google Drive и постоянно проверяет время изменения файла, чтобы увидеть, внес ли актер какие-либо изменения в него. Актер сначала изменит файл, включив в него уникальный идентификатор, который троян будет использовать для будущих сообщений»

Новая кампания по борьбе с вредоносным ПО предполагает, что хакерские группы APT все больше обращаются к злоупотреблению законными услугами для своей инфраструктуры командования и управления, чтобы избежать обнаружения.

Следует отметить, что, поскольку макросы VBA являются законной функцией, большинство антивирусных решений не помечают никаких предупреждений и не блокируют документы MS Office с помощью кода VBA.

Совет:

Лучший способ защитить себя от таких вредоносных атак — это всегда подозрительно относиться к любому незваному документу, отправленному по электронной почте, и никогда не нажимать на ссылки внутри этих документов, если только вы не проверили источник должным образом!