En ny attackkampanj kallad CLOUD#REVERSER har observerats som utnyttjar legitima molnlagringstjänster som Google Drive och Dropbox för att iscensätta skadliga nyttolaster.
"VBScript och PowerShell skripten i CLOUD#REVERSER involverar i sig kommando och kontrollliknande aktiviteter genom att använda Google Drive och Dropbox som iscensättning för plattformar för att hantera filuppladdningar och nedladdningar," säger Securonix forskarna Den Iuzvyk, Tim Peck och Oleg Kolesnikov i en rapport som delas med The Hacker News.
"Skripten är designade för att hämta filer som matchar specifika mönster, vilket tyder på att de väntar på kommandon eller skript placerade i Google Drive eller Dropbox."
Utgångspunkten för attackkedjan är ett nätfiske mail som har en ZIP arkivfil, som innehåller en körbar fil som maskerar sig som en Microsoft Excel fil.
I en intressant vändning använder filnamnet det dolda höger-till-vänster överstyrningen (RLO) Unicode tecknet (U+202E) för att vända ordningen på tecknen som kommer efter det tecknet i strängen.
Som ett resultat av detta visas filnamnet "RFQ-101432620247fl*U+202E*xslx.exe" för offret som "RFQ-101432620247flexe.xlsx", vilket lurar dem att tro att de öppnar ett Excel dokument.
Den körbara filen är utformad för att släppa totalt åtta nyttolaster, inklusive en excelfil ("20240416.xlsx") och ett kraftigt obfuskerat Visual Basic (VB) skript ("3156.vbs") som är ansvarigt för att visa XLSX filen till användaren att underhålla knep och starta två andra skript som heter "i4703.vbs" och "i6050.vbs."
Båda skripten används för att ställa in beständighet på Windows-värden med hjälp av en schemalagd uppgift genom att maskera dem som en uppdateringsuppgift för webbläsaren Google Chrome för att undvika att höja röda flaggor. Som sagt, de schemalagda uppgifterna är ordnade för att köra två unika VB skript som kallas "97468.tmp" och "68904.tmp" varje minut.
Vart och ett av dessa skript används i sin tur för att köra två olika PowerShell skript "Tmp912.tmp" och "Tmp703.tmp", som används för att ansluta till ett aktörskontrollerat Dropbox- och Google Drive konto och ladda ner ytterligare två PowerShell skript som refereras till. till som "tmpdbx.ps1" och "zz.ps1"
VB skripten konfigureras sedan för att köra de nyligen nedladdade PowerShell skripten och hämta fler filer från molntjänsterna, inklusive binärfiler som kan köras beroende på systempolicyerna.
"Det sena PowerShell skriptet zz.ps1 har funktionalitet för att ladda ner filer från Google Drive baserat på specifika kriterier och spara dem till en specificerad sökväg på det lokala systemet inuti ProgramData katalogen", säger forskarna.
Det faktum att båda PowerShell skripten laddas ner i farten innebär att de kan modifieras av hotaktörerna efter behag för att specificera vilka filer som kan laddas ner och köras på den komprometterade värden.
Också nedladdat via 68904.tmp finns ett annat PowerShell skript som kan hämta en komprimerad binär och köra den direkt från minnet för att upprätthålla en nätverksanslutning till angriparens kommando-och-kontroll-server (C2).
Det Texas-baserade cybersäkerhetsföretaget sa till The Hacker News att det inte kan ge information om målen och omfattningen av kampanjen på grund av att utredningen fortfarande pågår.
Utvecklingen är återigen ett tecken på att hotaktörer alltmer missbrukar legitima tjänster till sin fördel och flyger under radarn.
"Det här tillvägagångssättet följer en röd tråd där hotaktörer lyckas infektera och kvarstå på komprometterade system samtidigt som de bibehåller att smälta in i vanligt bakgrundsnätverksbrus," säger forskarna.
"Genom att bädda in skadliga skript i till synes ofarliga molnplattformar säkerställer skadlig programvara inte bara varaktig åtkomst till riktade miljöer utan använder också dessa plattformar som kanaler för dataexfiltrering och kommandoexekvering."
Inga kommentarer:
Skicka en kommentar