Vì hầu hết các công cụ bảo mật thường quan tâm đến lưu lượng mạng để phát hiện các địa chỉ IP độc hại, những kẻ tấn công đang ngày càng áp dụng cơ sở hạ tầng các dịch vụ hợp pháp trong các cuộc tấn công để che giấu các hoạt động của chúng.
Các nhà nghiên cứu về an ninh mạng hiện đã phát hiện ra một chiến dịch tấn công phần mềm độc hại mới được liên kết với nhóm DarkHydrus APT khét tiếng sử dụng Google Drive làm máy chủ chỉ huy và kiểm soát (C&C).
DarkHydrus lần đầu tiên được đưa ra ánh sáng vào tháng 8 năm ngoái khi nhóm APT đang tận dụng công cụ Phishery nguồn mở để thực hiện chiến dịch thu hoạch thông tin chống lại các tổ chức chính phủ và các tổ chức giáo dục ở Trung Đông.
Chiến dịch độc hại mới nhất do nhóm DarkTydrus APT thực hiện cũng được quan sát chống lại các mục tiêu ở Trung Đông, theo báo cáo được công bố bởi 360 Threat Intelligence Center (360TIC) và Palo Alto Networks.
Lần này, những kẻ tấn công đang sử dụng một biến thể mới của Trojan backdoor, được gọi là RogueRobin, ây nhiễm vào máy tính của nạn nhân bằng cách lừa họ mở một tài liệu Microsoft Excel có chứa macro VBA nhúng, thay vì khai thác bất kỳ lỗ hổng zero-day nào của Windows.
Việc kích hoạt macro sẽ drop một file text độc hại (.txt) trong thư mục tạm thời và sau đó tận dụng ứng dụng hợp pháp 'regsvr32.exe' để chạ nó, cuối cùng cài đặt backdoor RogueRobin được viết bằng ngôn ngữ lập trình C # trên hệ thống bị xâm nhập.
Theo các nhà nghiên cứu của Palo Alto, RogueRobin bao gồm nhiều chức năng để kiểm tra xem nó có được thực thi trong môi trường sandbox hay không, bao gồm kiểm tra môi trường ảo hóa, bộ nhớ thấp, số lượng bộ xử lý và các công cụ phân tích phổ biến chạy trên hệ thống. Nó cũng chứa mã chống gỡ lỗi.
Giống như phiên bản gốc, biến thể mới của RogueRobin cũng sử dụng DNS tunneling - một kỹ thuật gửi hoặc truy xuất dữ liệu và lệnh thông qua các gói truy vấn DNS để giao tiếp với máy chủ chỉ huy và kiểm soát (C&C) của nó.
Tuy nhiên, các nhà nghiên cứu phát hiện ra rằng bên cạnh DNS tunneling, phần mềm độc hại cũng đã được thiết kế để sử dụng API Google Drive như một kênh thay thế để gửi dữ liệu và nhận lệnh từ tin tặc.
Chiến dịch phần mềm độc hại mới cho thấy các nhóm hack APT đang chuyển hướng nhiều hơn sang việc lạm dụng các dịch vụ hợp pháp cho cơ sở hạ tầng C&C của họ để trốn tránh sự phát hiện.
Cần lưu ý rằng vì macro VBA là một tính năng hợp pháp, hầu hết các giải pháp chống vi-rút không gắn cờ bất kỳ cảnh báo hoặc chặn tài liệu MS Office nào bằng mã VBA.
Cách tốt nhất để bảo vệ bạn khỏi các cuộc tấn công phần mềm độc hại như vậy là luôn kiểm tra kỹ bất kỳ tài liệu không được mời nào được gửi qua email và không bao giờ nhấp vào liên kết bên trong các tài liệu đó trừ khi xác minh đúng nguồn.
Quảng cáo
Nguồn: Vietsunshine
