“ 新闻”
看到了,关注一下不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP备考,车联网,渗透红队以及漏洞挖掘工具等信息分享,欢迎加入;以及想挖SRC逻辑漏洞的朋友,可以私聊。
01
—
新闻
据观察,一项名为“云#REVERSER”的新攻击活动利用谷歌硬盘和Dropbox等合法云存储服务来转移恶意负载。
Securix研究人员Den Iuzvyk、Tim Peck和Oleg Kolesnikov在与《黑客新闻》分享的一份报告中表示:“云#REVERSER中的VBScript和PowerShell脚本本质上涉及类似命令和控制的活动,它们使用谷歌硬盘和Dropbox作为管理文件上传和下载的平台。”。
“这些脚本旨在获取与特定模式匹配的文件,这表明它们正在等待放置在Google Drive或Dropbox中的命令或脚本。”
攻击链的起点是一封带有ZIP存档文件的钓鱼电子邮件,其中包含一个伪装成Microsoft Excel文件的可执行文件。
有趣的是,文件名使用隐藏的从右到左覆盖(RLO)Unicode字符(U+202E)来反转字符串中该字符后面的字符的顺序。
结果,文件名“RFQ-101432620247fl*U+202E*xslx.exe”显示给受害者为“RFQ-101232620247flexe.xlsx”,从而欺骗他们以为他们正在打开Excel文档。
该可执行文件被设计为总共丢弃八个有效载荷,包括一个诱饵Excel文件(“20240416.xlsx”)和一个严重混淆的Visual Basic(VB)脚本(“3156.vbs”),该脚本负责向用户显示xlsx文件以维护诡计,并启动另外两个名为“i4703.vbs”和“i6050.vbs”的脚本
通过云服务交付恶意软件
这两个脚本都用于通过计划任务在Windows主机上设置持久性,方法是将它们伪装成Google Chrome浏览器更新任务,以避免引发危险信号。也就是说,调度的任务被编排为每分钟运行两个名为“97468.tmp”和“68904.tmp”的独特VB脚本。
依次,这些脚本中的每一个都用于运行两个不同的PowerShell脚本“Tmp912.tmp”和“Tmp703.tmp”,这两个脚本用于连接到参与者控制的Dropbox和Google Drive帐户,并下载另外两个PowerShell脚本,称为“tmpdbx.ps1”和“zz.ps1”,然后VB脚本被配置为运行新下载的PowerShell脚本,并从云服务中获取更多文件,包括可以根据系统策略执行的二进制文件。
研究人员表示:“后期PowerShell脚本zz.ps1具有根据特定标准从Google Drive下载文件并将其保存到本地系统ProgramData目录中的指定路径的功能。”。
这两个PowerShell脚本都是动态下载的,这意味着威胁参与者可以随意修改它们,以指定可以在受损主机上下载和执行的文件。
还通过68904.tmp下载了另一个PowerShell脚本,该脚本能够下载压缩的二进制文件并直接从内存中运行,以保持与攻击者的命令和控制(C2)服务器的网络连接。
这家总部位于得克萨斯州的网络安全公司告诉《黑客新闻》,由于调查仍在进行中,它无法提供有关目标和活动规模的信息。
这一事态发展再次表明,威胁行为者越来越多地滥用合法服务为自己谋利,并在雷达下飞行。
研究人员表示:“这种方法遵循一个共同的思路,即威胁行为者能够感染并持续存在于受损的系统中,同时保持与常规背景网络噪声的融合。”。
“通过在看似无害的云平台中嵌入恶意脚本,恶意软件不仅确保了对目标环境的持续访问,而且还利用这些平台作为数据泄露和命令执行的管道。”
原文始发于微信公众号(道玄网安驿站):通过云服务传递恶意软件利用Unicode欺骗用户
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论