臭名昭着的黑客组织 Carbanak 不断寻求“隐身”技术来逃避侦测,近日安全公司 Forcepoint 发现,黑客组织使用武器化的 RTF 格式文档传播恶意软件并利用 Google 服务来进行 C&C 通信隐藏通信流量,减少被发现的几率。
该恶意软件归属于黑客组织 Carbanak (也称为 Anunak )。此前黑客组织 Carbanak 在 2015 年利用该软件从全球 30 个国家 100 多家的金融机构窃取了 10 亿美元。
2015 年 Carbanak 针对金融机构的攻击(卡巴斯基实验室)
Forcepoint 安全实验室发现,犯罪团伙以钓鱼邮件形式将恶意软件隐藏在 RTF 附件中。该文档中嵌入了一个 OLE 对象,其中包含此前恶意软件 Carbanak 的 Visual Basic 脚本( VBScript )。当用户打开文档时,他们将看到一个图像,该图像旨在隐藏文件中嵌入的 OLE 对象,并诱使受害者双击打开它。
越来越多的网络罪犯开始使用 Microsoft Office 的 OLE 对象嵌入功能来隐藏恶意软件,而不是现在烂大街的宏功能。
研究人员还发现了一个“ ggldr ”脚本模块,该脚本会通过 Google Apps 脚本、 Google Sheets spreadsheet 和 Google Forms 服务发送和接收命令。对于每个受感染的用户,系统都会动态创建一个唯一的 Google Sheets spreadsheet,以便管理每个受害者。首先恶意软件使用感染用户的唯一 ID 与硬编码的 Google Apps 脚本网址进行通信联系,C&C 会回应不存在该用户信息。接下来,恶意软件会向另一个硬编码的 Google Forms 网址发送两个请求,为受害者创建唯一的 Google Sheets spreadsheet 和 Google Forms ID 。下次请求 Google Apps 脚本时,C&C 会回应这些详细信息。
由于很多企业机构都使用 Google 服务,所以一般都不会拦截合法的 Google 流量,从而大大增加攻击者成功建立 C&C 通信渠道的可能性。