CLOUD#RESERVER: Η Adacom εφιστά την προσοχή σας!

Μια νέα εξελιγμένη εκστρατεία επίθεσης με την ονομασία CLOUD#REVERSER έχει παρατηρηθεί ότι αξιοποιεί αξιόπιστες υπηρεσίες αποθήκευσης στο cloud, όπως το Google Drive και το Dropbox, για τη διανομή κακόβουλου λογισμικού.

Το σημείο εκκίνησης της αλυσίδας επίθεσης είναι ένα μήνυμα ηλεκτρονικού ταχυδρομείου phishing που περιέχει ένα αρχείο ZIP. Το εν λόγω αρχείο περιέχει κακόβουλο κώδικα σε ένα αρχείο Microsoft Excel, το οποίο θα εκτελεστεί όταν το ανοίξει ο χρήστης. Σε μια ενδιαφέρουσα ανατροπή, το όνομα του αρχείου κάνει χρήση του κρυμμένου χαρακτήρα Unicode (U+202E) RLO (right-to-left override) για να αντιστρέψει τη σειρά των χαρακτήρων που ακολουθούν τον συγκεκριμένο χαρακτήρα στη συμβολοσειρά. Ως αποτέλεσμα, το όνομα αρχείου RFQ-101432620247fl*U+202E*xslx.exe εμφανίζεται στο θύμα ως RFQ-101432620247flexe.xlsx, εξαπατώντας το έτσι ώστε να νομίζει ότι ανοίγει ένα έγγραφο Excel.

Το εκτελέσιμο αρχείο έχει σχεδιαστεί για να ρίχνει συνολικά οκτώ ωφέλιμα φορτία, συμπεριλαμβανομένου ενός αρχείου Excel δόλωμα και ενός έντονα συγκεκαλυμμένου σεναρίου Visual Basic, που είναι υπεύθυνο για την εμφάνιση του αρχείου XLSX στον χρήστη για να διατηρήσει το τέχνασμα και να εκκινήσει δύο άλλα σενάρια με τα ονόματα «i4703.vbs» και «i6050.vbs».

Και τα δύο σενάρια χρησιμοποιούνται για τη ρύθμιση της εμμονής στον κεντρικό υπολογιστή των Windows μέσω μιας προγραμματισμένης εργασίας, μεταμφιέζοντάς τα ως εργασία ενημέρωσης του προγράμματος περιήγησης Google Chrome για να μην δημιουργήσουν υποψίες. Οι προγραμματισμένες εργασίες είναι ενορχηστρωμένες, ώστε να εκτελούν δύο μοναδικά σενάρια VB με τις ονομασίες «97468.tmp» και «68904.tmp» κάθε λεπτό.

Καθένα από αυτά τα σενάρια, με τη σειρά του, χρησιμοποιείται για την εκτέλεση δύο διαφορετικών σεναρίων PowerShell Tmp912.tmp και Tmp703.tmp, τα οποία χρησιμοποιούνται για τη σύνδεση σε έναν ελεγχόμενο από τον δράστη λογαριασμό Dropbox και Google Drive και τη λήψη δύο ακόμη σεναρίων PowerShell, που αναφέρονται ως tmpdbx.ps1 και zz.ps1.

Στη συνέχεια, τα σενάρια VB ρυθμίζονται ώστε να εκτελούν τα πρόσφατα κατεβασμένα σενάρια PowerShell και να ανακτούν περισσότερα αρχεία από τις υπηρεσίες cloud, συμπεριλαμβανομένων δυαδικών αρχείων που θα μπορούσαν να εκτελεστούν ανάλογα με τις πολιτικές του συστήματος.

Το γεγονός ότι και τα δύο σενάρια PowerShell κατεβαίνουν on-the-fly σημαίνει ότι θα μπορούσαν να τροποποιηθούν από τους φορείς απειλών κατά βούληση για να καθορίσουν τα αρχεία που μπορούν να μεταφορτωθούν και να εκτελεστούν στον προσβεβλημένο υπολογιστή.

Επίσης, κατεβαίνει μέσω του 68904.tmp ένα άλλο σενάριο PowerShell που είναι ικανό να ανακτήσει ένα συμπιεσμένο δυαδικό αρχείο και να το εκτελέσει απευθείας από τη μνήμη, προκειμένου να διατηρήσει μια σύνδεση δικτύου με τον διακομιστή εντολών και ελέγχου (C2) του επιτιθέμενου.

Η συγκεκριμένη απειλή αναδεικνύει τον τρόπο με τον οποίο οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται όλο και περισσότερο νόμιμες υπηρεσίες για να περάσουν απαρατήρητοι. Οι επιχειρήσεις πρέπει να προσαρμόσουν τις στρατηγικές τους για την αντιμετώπιση αυτών των εξελισσόμενων απειλών.

Η εταιρεία κυβερνοασφάλειας Adacom προειδοποιεί και συμβουλεύει με τα εξής βήματα:

Εντοπίστε τις εκστρατείες εξαπάτησης: Να είστε επιφυλακτικοί απέναντι σε μη αναμενόμενα μηνύματα ηλεκτρονικού ταχυδρομείου με συνημμένα αρχεία ZIP και να χρησιμοποιείτε μηχανισμούς ανίχνευσης κακόβουλου κώδικα μηδενικού χρόνου.

Παρακολουθήστε τη δραστηριότητα του νέφους: Παρακολουθήστε τακτικά και ελέγξτε τη χρήση υπηρεσιών νέφους του οργανισμού σας.

Χρησιμοποιήστε νέες τεχνολογίες που κάνουν χρήση ΤΝ: Υλοποιήστε προηγμένα συστήματα ανίχνευσης απειλών που χρησιμοποιούν ΤΝ και μπορούν να εντοπίζουν ασυνήθιστες δραστηριότητες σε αξιόπιστες πλατφόρμες.

ΤΕΥΧΟΣ 550