استفاده‌ی تروجان RogueRobin از گوگل‌درایو به‌عنوان کارگزار دستور و کنترل

پویش سایبری جدیدی منتسب به گروه نفوذ DarkHydrus شناسایی شده که در حال توزیع تروجان RogueRobin هستند. نکته‌ی جالبی که وجود دارد این است که این نفوذگران از سرویس گوگل‌درایو به‌عنوان کارگزار دستور و کنترل استفاده می‌کنند. آخرین فعالیت مربوط به این گروه نفوذ در حمله‌ی آن‌ها به خاورمیانه مشاهده شده بود که کاربران را با فایل‌های اکسل همراه با ماکروهای مخرب VBA فریب می‌دادند. محققان اعلام کردند این ماکروی مخرب در ادامه یک فایل .TXT را دانلود کرده و با استفاده از سرویس قانونی regsvr32.exe آن را اجرا می‌کند. پس از گذشت چندین مرحله، در نهایت یک درب پشتی که به زبان C# نوشته شده و RogueRobin نام دارد، بر روی سیستم قربانی نصب می‌شود.

 

این گروه نفوذ، برای این بدافزار قابلیت‌های دیگری را در نظر گرفته‌اند که با حالت x_mode فعال می‌شود. این وضعیت به‌طور پیش‌فرض غیرفعال است ولی مهاجمان با ارسال دستور از سمت کارگزار دستور و کنترل که در گوگل درایو قرار دارد، آن را فعال کنند. ارتباط با کارگزار دستور و کنترل از طریق تونل‌زنی DNS انجام می‌شود. محققان اعلام کرده‌اند این بدافزار پیش از اجرای عملیات، اجرا شدن بر روی یک محیط جعبه شنی را بررسی می‌کند.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید