网络安全公司Palo Alto Networks旗下Unit 42威胁研究团队在上周五发表的一篇分析文章中指出,他们在最近发现了一起疑似由DarkHydrus黑客组织发起的新活动。在这起活动中,该组织使用了RogueRobin木马的一个新变种,并利用Google Drive(由谷歌公司推出的一项在线云存储服务)作为备用C2服务器。
相关资料显示,DarkHydrus是一个于去年7月份由Palo Alto Networks Unit 42团队的安全专家发现的黑客组织。在当时,该组织针对中东的一个政府机构实施了攻击。随着调查的深入,Unit 42团队发现了更多的攻击痕迹,使得他们相信该组织自2016年初以来就一直在使用恶意脚本开展恶意攻击活动。
根据Unit 42团队的说法,他们此次共捕获了三份旨在安装RogueRobin木马新变种的诱饵文档。这三份文档彼此之间非常相似,均是使用.xlsm文件扩展名的内含宏代码的Microsoft Office Excel文档。此外,这三份文档均不包含任何内容,收件人只会看到一个运行宏所需的“Enable Content”按钮。
在按下“Enable Content”按钮之后,宏代码就会执行,以创建一个PowerShell脚本并写入文件“%TEMP%\WINDOWSTEMP.ps1”中。分析表明,这个PowerShell脚本的作用是将解码和解压后的可执行文件保存为“%APPDATA%\Microsoft\Windows\Templates\WindowsTemplate.exe”,并以路径“%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\OneDrive.lnk”创建一个LNK快捷方式文件。通过这种方式,它能够保证WindowsTemplate.exe在每次Windows启动时都可以自动运行,而这个WindowsTemplate.exe可执行文件实际上就是采用C#编写的RogueRobin新变种。
Unit 42团队表示,与之前的RogueRobin变种相比,C#变种虽然仍会相同的命令来检测自身是否处于沙箱环境中以及使用DNS隧道来与命令和控制(C&C)服务器进行通信,但它还额外实现了一些新的功能,包括使用 Google Drive API。
分析表明,C#变种允许攻击者使用 Google Drive作为其备用的命令和控制通道,并可以检测恶意流量——在RogueRobin C#变种的代码中,包含一个硬编码的Google Drive网址。
Unit 42团队的安全专家推测,DarkHydrus黑客组织显然仍在继续开展恶意攻击活动,并在不断升级其技术和武器库。从最近的攻击活动来看,该组织还滥用了一些开源渗透测试技术,例如AppLocker(即“应用程序控制策略”,从Windows 7系统开始引入的一项安全功能)绕过技术。
最后,如果你想要了解更多有关这起恶意攻击活动以及RogueRobin C#变种的信息,可以查看由Palo Alto Networks或360威胁情报中心(360 TIC)发布的分析文章。
扫一扫
410
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
