产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
forcepoint安全研究人员警告道:声名狼藉的carbanak恶意软件如今能用谷歌服务来做c&c通信了。
carbanak黑客团伙(亦称anunak)最早在2015年曝光,所用恶意软件主要针对金融机构,是个经济利益驱动的黑客组织。首次发现时,该团伙据称从30个国家的上百家银行盗取了高达10亿美元资金。针对性恶意软件是该团伙一直采用的攻击方式。近期研究人员发现,某利用托管在镜像域名上的武器化office文档进行恶意软件投放的攻击行动中,该恶意软件也有现身。
forcepoint安全实验室最近分析的攻击也沿用了类似的途径:利用rtf文档投放carbanak恶意软件。该文档打包进了经编码的vbscript脚本,该脚本之前与carbanak恶意软件相关联。
该文档内嵌包含有vbscript文件的ole对象。用户打开文档时,会看到一幅用以隐藏该内嵌ole对象并诱使受害者点击的图片。一旦用户双击图片,就会弹出一个“unprotected.vbe”的文件打开对话框,要求用户运行之。运行动作导致的就是恶意软件的执行。
越来越多的网络罪犯弃用恶意宏,转而开始使用微软office的对象链接和嵌入(ole)功能来投放恶意软件。2016年6月微软就警告过这种方法,但最近观察到的一次键盘记录攻击活动中,这种方法也在列。
攻击中,carbanak团伙将恶意软件以编码vbscript文件的形式打包到rtf文档中。据forcepoint称,虽然这是该团伙惯用的典型恶意软件,攻击中还出现了一款新的“ggldr”脚本模块。该模块与其他各种vbscript模块经base64编码后嵌入在主vbscript文件中,旨在将谷歌服务利用为其c&c信道。
“ggldr”脚本会与 google apps script、google sheets 和 google forms 服务通信,收发指令,还会为每个被感染用户创建 google sheets 电子表格以进行管理。使用类似合法第三方服务,让攻击者具备了大隐隐于市的能力。这些托管谷歌服务一般不太可能被公司默认封禁,因而攻击者也更有可能成功建立起c&c信道。
恶意软件第一次尝试使用用户唯一感染id连接硬编码的 google apps script url 时,c&c会响应说该用户不存在电子表格。然后,恶意软件会发送两个请求到另一个硬编码的 google forms url 以为该受害者创建唯一的 google sheets 电子表格和 google forms id。下一次再访问 google apps script,c&c就会响应这些唯一的信息了。
carbanak团伙一直在找隐蔽技术以规避检测。用谷歌作为独立c&c信道,比使用新创建的域名或没信誉的域名要成功得多。
试用申请
