恶意软件Carbanak利用谷歌来做命令控制服务器通道

安全
Forcepoint安全实验室最近分析的攻击也沿用了类似的途径:利用RTF文档投放Carbanak恶意软件。该文档打包进了经编码的VBScript脚本,该脚本之前与Carbanak恶意软件相关联。

Forcepoint安全研究人员警告道:声名狼藉的Carbanak恶意软件如今能用谷歌服务来做C&C通信了。

Carbanak黑客团伙(亦称Anunak)最早在2015年曝光,所用恶意软件主要针对金融机构,是个经济利益驱动的黑客组织。首次发现时,该团伙据称从30个国家的上百家银行盗取了高达10亿美元资金。针对性恶意软件是该团伙一直采用的攻击方式。近期研究人员发现,某利用托管在镜像域名上的武器化Office文档进行恶意软件投放的攻击行动中,该恶意软件也有现身。

Forcepoint安全实验室最近分析的攻击也沿用了类似的途径:利用RTF文档投放Carbanak恶意软件。该文档打包进了经编码的VBScript脚本,该脚本之前与Carbanak恶意软件相关联。

该文档内嵌包含有VBScript文件的OLE对象。用户打开文档时,会看到一幅用以隐藏该内嵌OLE对象并诱使受害者点击的图片。一旦用户双击图片,就会弹出一个“unprotected.vbe”的文件打开对话框,要求用户运行之。运行动作导致的就是恶意软件的执行。

越来越多的网络罪犯弃用恶意宏,转而开始使用微软Office的对象链接和嵌入(OLE)功能来投放恶意软件。2016年6月微软就警告过这种方法,但最近观察到的一次键盘记录攻击活动中,这种方法也在列。

攻击中,Carbanak团伙将恶意软件以编码VBScript文件的形式打包到RTF文档中。据Forcepoint称,虽然这是该团伙惯用的典型恶意软件,攻击中还出现了一款新的“ggldr”脚本模块。该模块与其他各种VBScript模块经Base64编码后嵌入在主VBScript文件中,旨在将谷歌服务利用为其C&C信道。

“ggldr”脚本会与 Google Apps Script、Google Sheets 和 Google Forms 服务通信,收发指令,还会为每个被感染用户创建 Google Sheets 电子表格以进行管理。使用类似合法第三方服务,让攻击者具备了大隐隐于市的能力。这些托管谷歌服务一般不太可能被公司默认封禁,因而攻击者也更有可能成功建立起C&C信道。

恶意软件第一次尝试使用用户唯一感染ID连接硬编码的 Google Apps Script URL 时,C&C会响应说该用户不存在电子表格。然后,恶意软件会发送两个请求到另一个硬编码的 Google Forms URL 以为该受害者创建唯一的 Google Sheets 电子表格和 Google Forms ID。下一次再访问 Google Apps Script,C&C就会响应这些唯一的信息了。

Carbanak团伙一直在找隐蔽技术以规避检测。用谷歌作为独立C&C信道,比使用新创建的域名或没信誉的域名要成功得多。

责任编辑:武晓燕 来源: 安全牛
相关推荐

2013-04-01 10:36:10

2017-07-24 13:42:38

2023-08-30 12:21:03

2021-03-12 10:20:51

谷歌Clast82恶意软件

2014-01-08 16:43:20

Hypervisor服务器电源消耗

2020-10-05 21:41:58

漏洞网络安全网络攻击

2009-02-20 13:24:32

SUSE控制服务器蔓延势头

2009-09-03 14:27:15

RHEL 5.0版本控制服务器红帽

2009-02-07 13:23:36

服务器蔓延虚拟化Novell SUSE

2009-02-19 10:13:00

远程控制服务器权限

2014-11-07 16:21:55

WireLurker恶意软件Mac

2014-12-18 10:33:23

云计算IaaS

2009-01-19 09:19:58

局域网远程控制服务器

2009-09-24 12:57:18

2017-07-17 06:46:06

2014-08-18 09:25:54

2011-07-04 17:55:09

2013-02-20 09:56:39

Facebook自制服务器定制机

2021-06-07 09:19:59

GitHub 恶意软件微软

2015-05-26 15:04:07

点赞
收藏

51CTO技术栈公众号