据谷歌旗下安全公司Mandiant的官网博客,最近发现有黑客在利用USB设备进行初始感染后,会借助GitHub、Vimeo、Ars Technica等合法平台用于托管恶意编码负载。
攻击者会“光明正大”地将这些负载放置在科技新闻网站的用户资料之中,或者是放置在媒体托管平台的视频简介之中。由于这些负载本身只是一堆文本字符串,对于访问这些网页的用户并不直接构成风险,但在黑客的整个攻击链中,它们对于下载和执行恶意软件至关重要。
Mandiant将实施这一恶意活动的黑客团伙称为UNC4990,该组织自2020年以来一直活跃,主要针对的是意大利用户。
攻击始于受害者双击USB驱动器上的恶意LNK快捷方式文件(该文件图标被设置为微软的驱动器默认图标以欺骗受害者)。当该快捷方式被启动时,会执行一个PowerShell脚本explorer.ps1,该脚本随后会下载前文所述的中间负载,并将之解码为用于下载安装名为“EMPTYSPACE”的恶意软件下载器URL。
在随后的攻击阶段,EMPTYSPACE会下载一个名为“QUIETBOARD”的恶意挖矿软件,用来在受害者设备上挖掘门罗币、以太坊、狗狗币和比特币等加密货币。Mandiant透露,与该恶意活动相关的钱包地址已经获得了超过55000美元的利润(其中不包括门罗币)。
UNC4990此前曾尝试过多种方法来托管中间负载,最初使用的是GitHub和GitLab上的编码文本文件,后来转而借助播客网站Vimeo和科技博客Ars Technica等用来托管Base64编码和AES加密的字符串负载。
Mandiant指出,攻击者并没有利用这些网站的漏洞,而只是简单地使用其常规网站功能,如视频简介等,秘密地托管已混淆的负载而不引起怀疑。Mandiant博客中提到的所有案例现在都已从受影响的平台中删除。
对于黑客来说,在合法且声誉良好的平台上托管负载的好处在于,能够降低它们被标记为可疑的概率,同时,将负载嵌入合法内容并与大量合法流量混合也使得更难以定位和删除恶意代码。
编辑:左右里
资讯来源:Mandiant、bleepingcomputer
转载请注明出处和本文链接
原文始发于微信公众号(看雪学苑):无规律字符串的隐藏面貌,黑客利用合法媒体平台托管恶意软件中间负载
评论