Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Nhóm hacker tai tiếng sử dụng dịch vụ của Google để phát tán mã độc
Carbanak - một trong những nhóm hacker “đình đám” nhất từng được biết đến với các phi vụ lấy cắp một tỷ USD từ hơn 100 ngân hàng trên khắp 30 quốc gia vào năm 2015 – đã quay trở lại!
Carbanak được phát hiện sử dụng các dịch vụ khác nhau của Google để thực hiện các kết nối C&C nhằm kiểm soát và điều khiển các máy của nạn nhân.
Các chuyên gia Forcepoint Security Labs cho biết khi điều tra bộ khai thác trong file đính kèm RTF của các tin nhắn phishing đã phát hiện ra rằng nhóm Carbanak che giấu trang web bằng cách sử dụng các dịch vụ của Google cho C&C.
"Các thành viên Carbanak tiếp tục tìm kiếm các kỹ thuật để che giấu hoạt động, tránh bị phát hiện" các chuyên gia cho biết. "Việc sử dụng Google như một kênh C&C độc lập có vẻ dễ thành công hơn so với sử dụng các domain không danh tiếng khác".
Các file RTF có 1 đối tượng OLE chứa một VBScript (Visual Basic Script), ban đầu kết nối với mã độc Carbanak sau đó sử dụng social engineering để lừa nạn nhân click vào hình ảnh bì thư để "mở nội dung".
Hình ảnh bì thư đó thực chất che giấu đối tượng được nhúng OLE, vì vậy ngay sau khi nạn nhân click chuột, hộp thoại sẽ mở ra và hỏi nạn nhân có chạy file unprotected.vbe hay không.
Nếu nạn nhân chạy file, mã độc VBScript sẽ được thực thi, và theo các chuyên gia, mã độc sẽ "gửi và nhận lệnh từ/đến các dịch vụ Google Apps Script, Google Sheets và Google Forms".
Ngoài mã độc VBScript, các chuyên gia cũng phát hiện một mô-đun script được mã hóa bên trong file VBScript chính cùng với các mô-đun VBScript khác, có khả năng sử dụng dịch vụ của Google như kênh C&C.
“Script 'ggldr' sẽ gửi/nhận các lệnh từ/đến Google Apps Script, Google Sheets và Google Forms services", "Với mỗi người dùng bị lây nhiễm, 1 Goole Sheets riêng sẽ được tạo tự động để quản lý nạn nhân đó" các chuyên gia cho biết.
"Việc sử dụng dịch vụ hợp pháp của bên thứ 3 cho phép kẻ tấn công có thể che giấu hoạt động. Những dịch vụ của Google thường không bị chặn đối với hệ thống của một tổ chức, do đó khả năng thành công khi thiết lập kênh C&C sẽ cao hơn”.
Carbanak, còn được gọi là Anunak, là một trong những nhóm hacker thành công nhất trên thế giới với tổ chức quy củ và liên tục thay đổi chiến thuật để thực hiện các hoạt động xâm nhập nhằm tránh bị phát hiện.
Nhóm bắt đầu “nổi tiếng” từ năm 2015 chủ yếu nhắm mục tiêu vào các tổ chức tài chính. Kể từ khi bắt đầu hoạt động năm 2013, Carbanak đã đánh cắp số tiền lên tới 1 tỷ USD từ hơn 100 ngân hàng trên toàn cầu.
Vấn đề đã được các chuyên gia thông báo tới Google.
Carbanak được phát hiện sử dụng các dịch vụ khác nhau của Google để thực hiện các kết nối C&C nhằm kiểm soát và điều khiển các máy của nạn nhân.
Các chuyên gia Forcepoint Security Labs cho biết khi điều tra bộ khai thác trong file đính kèm RTF của các tin nhắn phishing đã phát hiện ra rằng nhóm Carbanak che giấu trang web bằng cách sử dụng các dịch vụ của Google cho C&C.
"Các thành viên Carbanak tiếp tục tìm kiếm các kỹ thuật để che giấu hoạt động, tránh bị phát hiện" các chuyên gia cho biết. "Việc sử dụng Google như một kênh C&C độc lập có vẻ dễ thành công hơn so với sử dụng các domain không danh tiếng khác".
Các file RTF có 1 đối tượng OLE chứa một VBScript (Visual Basic Script), ban đầu kết nối với mã độc Carbanak sau đó sử dụng social engineering để lừa nạn nhân click vào hình ảnh bì thư để "mở nội dung".
Hình ảnh bì thư đó thực chất che giấu đối tượng được nhúng OLE, vì vậy ngay sau khi nạn nhân click chuột, hộp thoại sẽ mở ra và hỏi nạn nhân có chạy file unprotected.vbe hay không.
Nếu nạn nhân chạy file, mã độc VBScript sẽ được thực thi, và theo các chuyên gia, mã độc sẽ "gửi và nhận lệnh từ/đến các dịch vụ Google Apps Script, Google Sheets và Google Forms".
Ngoài mã độc VBScript, các chuyên gia cũng phát hiện một mô-đun script được mã hóa bên trong file VBScript chính cùng với các mô-đun VBScript khác, có khả năng sử dụng dịch vụ của Google như kênh C&C.
“Script 'ggldr' sẽ gửi/nhận các lệnh từ/đến Google Apps Script, Google Sheets và Google Forms services", "Với mỗi người dùng bị lây nhiễm, 1 Goole Sheets riêng sẽ được tạo tự động để quản lý nạn nhân đó" các chuyên gia cho biết.
"Việc sử dụng dịch vụ hợp pháp của bên thứ 3 cho phép kẻ tấn công có thể che giấu hoạt động. Những dịch vụ của Google thường không bị chặn đối với hệ thống của một tổ chức, do đó khả năng thành công khi thiết lập kênh C&C sẽ cao hơn”.
Carbanak, còn được gọi là Anunak, là một trong những nhóm hacker thành công nhất trên thế giới với tổ chức quy củ và liên tục thay đổi chiến thuật để thực hiện các hoạt động xâm nhập nhằm tránh bị phát hiện.
Nhóm bắt đầu “nổi tiếng” từ năm 2015 chủ yếu nhắm mục tiêu vào các tổ chức tài chính. Kể từ khi bắt đầu hoạt động năm 2013, Carbanak đã đánh cắp số tiền lên tới 1 tỷ USD từ hơn 100 ngân hàng trên toàn cầu.
Vấn đề đã được các chuyên gia thông báo tới Google.
Nguồn: The Hacker News