محققان آزمایشگاه Menlo حملات پیاپی در قالب ایمیلهای مخرب را که با سوءاستفاده از فضای ذخیرهسازی ابری Google، کارمندان بانکها و شرکتهای خدماتی مالی را مورد هدف قرار میدادند، کشف کردند.
این حملات با سوءاستفاده از فضای ذخیرهسازی ابری Google برای انتقال payload، سازمانهای آمریکایی و انگلیسی را مورد هدف قرار میدادند. این حملات در قالب هرزنامههایی حاوی پیام هستند. در این پیامها لینکی که به فایلهای با فرمت .zip و .gz ارجاع داده میشوند، قرار دادهشده است. مهاجمان تلاش میکنند با استفاده از برخی حقهها، ترتیبی را اتخاذ کنند که قربانی روی لینک مخرب کلیک کند. آنها این کار را با قرار دادن payload مخرب بر روی storage.googleapis.com که مربوط به سرویس فضای ذخیرهسازی ابری Google است، انجام میدهند. این payload از خانوادهی Houdini و QRat malware است.
از این طریق مهاجمان میتوانند تدابیر امنیتی موجود در سازمانهای مورد هدف را دور بزنند.
تحلیل منتشرشده توسط محققین امنیتی آزمایشگاه Menlo
در همه موارد، payload روی storage.googleapis.com، دامنهای از فضای ذخیرهسازی ابری Google که توسط بسیاری از شرکتها مورداستفاده قرار میگیرد، قرار داشت. ممکن است مهاجمان payload هایشان را روی این دامنه که مورد اعتماد بسیاری از افراد است، قرار دهند تا از آن برای دور زدن تدابیر امنیتی موجود در محل سازمان یا محصولات امنیتی تجاری بهره ببرند.
این نمونهای از افزایش بهرهگیری از ” reputation-jacking” است که پشت سرویسهای میزبان شناختهشده و محبوب برای جلوگیری از شناسایی، پنهان میشود.
مهاجمان برای حملات خود از شهرت سامانههایی چون سامانه ابری گوگل سوء استفاده میکنند.
مهاجمان بهجای وصلههای مخرب اغلب از لینکهای مخرب استفاده میکنند تا با استفاده از ترکیب ایمیل و وب، قربانی تحت تأثیر این تهدید قرار بگیرد. بسیاری از راهحلها امنیتی توانایی تشخیص وصلههای مخرب را دارند؛ اما تشخیص URLهای مخرب فقط در صورت موجود بودن در لیست سیاه امکانپذیر است.
مهاجمان با استفاده از دو نوع payload به سراغ قربانیان میروند: اسناد VBS یا فایلهای JAR.؛ کارشناسان پس از تحلیل برخی از اسکریپتهای VBS مخرب که بسیار هم مبهم بودند به این نتیجه رسیدند که احتمالاً توسط یک مجرم سایبری زیرزمینی ایجادشده است.
همچنین سه سند متعلق به خانواده بدافزار Houdini را تحلیل کردند. کد مذکور با سه لایهی تودرتو از VBScript مبهمسازی و توسط الگوریتم Base64، رمزگذاری شده بود. محققان دریافتند که آنها از همان دامنه C2 یعنی (pm2bitcoin[.]com) و (fud [.] fudcrypt [.] com بهعنوان دامنهی ثانویه استفاده میکنند.
همچنین رشتهی ” <[ recoder : houdini (c) skype : houdini-fx ]>” در لایه سوم VBScript وجود داشت که همگی یک فایل JAR را دانلود میکردند. یکی از فایلها، متعلق به خانواده بدافزار Houdini/jRAT و دیگر فایلها متعلق به خانواده بدافزار QRat بودند.
نتیجهگیری آزمایشگاه Menlo
سرویسهای مالی همچنان هدف جذابی برای مهاجمان هستند. در این میان دسترسی راه دور تروجان (RAT) نقش بسیار مهمی در به دست آوردن دسترسی به سیستم در معرض خطر را بازی میکند. راههای دسترسی به سرورها نیز همواره در حال پیشرفت است. سرویسهای مالی باید انتظار حملات بدافزارهای پیشرفتهتر و حملات فیشینگ اساسی را داشته باشد.
