Forcepoint安全研究人员警告道:声名狼藉的Carbanak恶意软件如今能用谷歌服务来做C&C通信了。
Carbanak黑客团伙(亦称Anunak)最早在2015年曝光,所用恶意软件主要针对金融机构,是个经济利益驱动的黑客组织。首次发现时,该团伙据称从30个国家的上百家银行盗取了高达10亿美元资金。针对性恶意软件是该团伙一直采用的攻击方式。近期研究人员发现,某利用托管在镜像域名上的武器化Office文档进行恶意软件投放的攻击行动中,该恶意软件也有现身。
Forcepoint安全实验室最近分析的攻击也沿用了类似的途径:利用RTF文档投放Carbanak恶意软件。该文档打包进了经编码的VBScript脚本,该脚本之前与Carbanak恶意软件相关联。
该文档内嵌包含有VBScript文件的OLE对象。用户打开文档时,会看到一幅用以隐藏该内嵌OLE对象并诱使受害者点击的图片。一旦用户双击图片,就会弹出一个“unprotected.vbe”的文件打开对话框,要求用户运行之。运行动作导致的就是恶意软件的执行。
越来越多的网络罪犯弃用恶意宏,转而开始使用微软Office的对象链接和嵌入(OLE)功能来投放恶意软件。2016年6月微软就警告过这种方法,但最近观察到的一次键盘记录攻击活动中,这种方法也在列。
攻击中,Carbanak团伙将恶意软件以编码VBScript文件的形式打包到RTF文档中。据Forcepoint称,虽然这是该团伙惯用的典型恶意软件,攻击中还出现了一款新的“ggldr”脚本模块。该模块与其他各种VBScript模块经Base64编码后嵌入在主VBScript文件中,旨在将谷歌服务利用为其C&C信道。
“ggldr”脚本会与 Google Apps Script、Google Sheets 和 Google Forms 服务通信,收发指令,还会为每个被感染用户创建 Google Sheets 电子表格以进行管理。使用类似合法第三方服务,让攻击者具备了大隐隐于市的能力。这些托管谷歌服务一般不太可能被公司默认封禁,因而攻击者也更有可能成功建立起C&C信道。
恶意软件第一次尝试使用用户唯一感染ID连接硬编码的 Google Apps Script URL 时,C&C会响应说该用户不存在电子表格。然后,恶意软件会发送两个请求到另一个硬编码的 Google Forms URL 以为该受害者创建唯一的 Google Sheets 电子表格和 Google Forms ID。下一次再访问 Google Apps Script,C&C就会响应这些唯一的信息了。
Carbanak团伙一直在找隐蔽技术以规避检测。用谷歌作为独立C&C信道,比使用新创建的域名或没信誉的域名要成功得多。
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- AI成为双刃剑!凯捷调查:97%组织遭遇过GenAI漏洞攻击
- openEuler开源五年树立新里程碑,累计装机量突破1000万
- 创想 华彩新程!2024柯尼卡美能达媒体沟通会焕新增长之道
- 操作系统大会2024即将在京召开,见证openEuler发展新里程
- Gartner:AI引领欧洲IT支出激增,2025年将支出1.28万亿美元
- IDC:中国数字化转型支出五年复合增长率约为15.6% 高于全球整体增速
- 2028年中国数字化转型总体市场规模将超7300亿美元
- 诺基亚源代码疑遭黑客IntelBroker盗窃,公司确认已展开调查
- 携手SUSE,共驭变革之风:踏上共创数字未来之旅
- Gartner:预计2025年全球IT支出达到5.74万亿美元 同比增长9.3%
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
