Dato che ormai la maggior parte delle soluzioni di sicurezza controlla costantemente il traffico di rete per rilevare indirizzi IP dannosi, gli attaccanti sono corsi ai ripari usando sempre più spesso le infrastrutture di servizi legittimi per nascondere/gestire le loro attività dannose.
Alcuni ricercatori di sicurezza hanno individuato una nuova campagna malware, collegata al popolare gruppo di cyber attaccanti DarkHydrus APT, che usa Google Drive come server di comando e controllo (C2). Il gruppo è conosciuto per aver sfruttato il tool open source Phishery per rubare credenziali a enti governativi e istituti educativi di vari stati del Medio Oriente.
La campagna attuale
L'attacco in corso vede l'uso di una nuova variante della backdoor usata già in passato da questo gruppo: parliamo di RogueRobin, che infetta le vittime una volta che queste vengono indotte con l'inganno ad aprire un documento Microsoft Excel contenente una macro VBA integrata (una tecnica di infezione diversa dal passato, dato che il gruppo ha sempre preferito sfruttare vulnerabilità 0-day di Windows).
L'abilitazione della macro comporta il download di un file di testo TXT dannoso nella cartella temporanea: questo viene eseguito sfruttando l'applicazione legittima regsvr32.exe, quindi viene installata la backdoor RogueRobin (scritta in linguaggio di programmazione C#) sul sistema infetto.
Stando a quanto affermato da diversi ricercatori di sicurezza, RogueRobin include numerose funzioni di "invisibilità", per verificare una eventuale esecuzione in ambiente sandbox, inclusa la verifica di ambienti virtuali. Dispone inoltre di alcuni tool di analisi e di un codice anti-debug.
L'uso di Google DriveCome nella versione originale, la nuova variante di RogueRobin usa il DNS tunneling - una tecnica per inviare e ricevere dati e comandi tramite pacchetti di risposta DNS - per comunicare col proprio server di comando e controllo.
La particolarità di questi attacco è che, oltre al DNS Tunneling, il malware è pensato anche per usare l'API Google Drive come canale alternativo per l'invio di dati e la ricezione di comandi. RogueRobin infatti carica i file in un account Google Drive e verifica costantemente qualsiasi variazione di quei file per sapere se l'attore che lo comanda ha effettuato qualche modifica. L'attaccante dovrà per prima cosa modificare il file per includere un ID univoco che il trojan utilizzerà per tutte le comunicazioni future.
Nessun commento:
Posta un commento