TM_550

8 17|7|2024 #550 Μια νέα εξελιγμένη εκστρατεία επίθεσης με την ονομασία CLOUD#REVERSER έχει παρατηρηθεί ότι αξιοποιεί αξιόπι- στες υπηρεσίες αποθήκευσης στο cloud, όπως το Google Drive και το Dropbox, για τη διανομή κακόβουλου λογισμικού. Το σημείο εκκίνησης της αλυσίδας επί- θεσης είναι ένα μήνυμα ηλεκτρονικού ταχυδρομείου phishing που περιέχει ένα αρχείο ZIP. Το εν λόγω αρχείο περι- έχει κακόβουλο κώδικα σε ένα αρχείο Microsoft Excel, το οποίο θα εκτελεστεί όταν το ανοίξει ο χρήστης. Σε μια ενδια- φέρουσα ανατροπή, το όνομα του αρχεί- ου κάνει χρήση του κρυμμένου χαρακτή- ρα Unicode (U+202E) RLO (right-to-left override) για να αντιστρέψει τη σειρά των χαρακτήρων που ακολουθούν τον συγκεκριμένο χαρακτήρα στη συμβολο- σειρά. Ως αποτέλεσμα, το όνομα αρχεί- ου RFQ-101432620247fl*U+202E*xslx. exe εμφανίζεται στο θύμα ως RFQ- 101432620247flexe.xlsx, εξαπατώντας το έτσι ώστε να νομίζει ότι ανοίγει ένα έγγραφο Excel. Το εκτελέσιμο αρχείο έχει σχεδιαστεί για να ρίχνει συνολικά οκτώ ωφέλιμα φορ- τία, συμπεριλαμβανομένου ενός αρχεί- ου Excel δόλωμα και ενός έντονα συγκε- καλυμμένου σεναρίου Visual Basic, που είναι υπεύθυνο για την εμφάνιση του αρχείου XLSX στον χρήστη για να διατη- ρήσει το τέχνασμα και να εκκινήσει δύο άλλα σενάρια με τα ονόματα «i4703.vbs» και «i6050.vbs». Και τα δύο σενάρια χρησιμοποιούνται για τη ρύθμιση της εμμονής στον κεντρι- κό υπολογιστή των Windows μέσω μιας προγραμματισμένης εργασίας, μεταμ- φιέζοντάς τα ως εργασία ενημέρωσης του προγράμματος περιήγησης Google Chrome για να μην δημιουργήσουν υπο- ψίες. Οι προγραμματισμένες εργασίες εί- ναι ενορχηστρωμένες, ώστε να εκτελούν δύο μοναδικά σενάρια VB με τις ονομασίες «97468.tmp» και «68904.tmp» κάθε λεπτό. Καθένα από αυτά τα σενάρια, με τη σειρά του, χρησιμοποιείται για την εκτέλεση δύο διαφορετικών σεναρίων PowerShell Tmp912.tmp και Tmp703. tmp, τα οποία χρησιμοποιούνται για τη σύνδεση σε έναν ελεγχόμενο από τον δράστη λογαριασμό Dropbox και Google Drive και τη λήψη δύο ακόμη σεναρίων PowerShell, που αναφέρονται ως tmpdbx.ps1 και zz.ps1. Στη συνέχεια, τα σενάρια VB ρυθμίζονται ώστε να εκτελούν τα πρόσφατα κατεβα- σμένα σενάρια PowerShell και να ανα- κτούν περισσότερα αρχεία από τις υπη- ρεσίες cloud, συμπεριλαμβανομένων δυαδικών αρχείων που θα μπορούσαν να εκτελεστούν ανάλογα με τις πολιτικές του συστήματος. Το γεγονός ότι και τα δύο σενάρια PowerShell κατεβαίνουν on-the-fly ση- μαίνει ότι θα μπορούσαν να τροποποι- ηθούν από τους φορείς απειλών κατά βούληση για να καθορίσουν τα αρχεία που μπορούν να μεταφορτωθούν και να εκτελεστούν στον προσβεβλημένο υπολογιστή. Επίσης, κατεβαίνει μέσω του 68904.tmp ένα άλλο σενάριο PowerShell που είναι ικανό να ανακτήσει ένα συμπιεσμένο δυ- αδικό αρχείο και να το εκτελέσει απευ- θείας από τη μνήμη, προκειμένου να διατηρήσει μια σύνδεση δικτύου με τον διακομιστή εντολών και ελέγχου (C2) του επιτιθέμενου. Η συγκεκριμένη απειλή αναδεικνύει τον τρόπο με τον οποίο οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται όλο και περισσότερο νόμιμες υπηρεσίες για να περάσουν απαρατήρητοι. Οι επιχειρή- σεις πρέπει να προσαρμόσουν τις στρα- τηγικές τους για την αντιμετώπιση αυτών των εξελισσόμενων απειλών. Η εταιρεία κυβερνοασφάλειας Adacom προειδοποιεί και συμβουλεύει με τα εξής βήματα: Εντοπίστε τις εκστρατείες εξαπάτη- σης: Να είστε επιφυλακτικοί απέναντι σε μη αναμενόμενα μηνύματα ηλεκτρονι- κού ταχυδρομείου με συνημμένα αρχεία ZIP και να χρησιμοποιείτε μηχανισμούς ανίχνευσης κακόβουλου κώδικα μηδενι- κού χρόνου. Παρακολουθήστε τη δραστηριότητα του νέφους: Παρακολουθήστε τακτικά και ελέγξτε τη χρήση υπηρεσιών νέφους του οργανισμού σας. Χρησιμοποιήστε νέες τεχνολογίες που κάνουν χρήση ΤΝ: Υλοποιήστε προηγμένα συστήματα ανίχνευσης απει- λών που χρησιμοποιούν ΤΝ και μπορούν να εντοπίζουν ασυνήθιστες δραστηριό- τητες σε αξιόπιστες πλατφόρμες. CLOUD#RESERVER Η Adacom εφιστά την προσοχή σας!