Google App Engine được dùng để phân phối phần mềm độc hại thông qua file PDF

Nhóm hack “Cobalt” khét tiếng đã sử dụng Google App Engine để phân phối phần mềm độc hại thông qua các tài liệu giải mã PDF, các nhà nghiên cứu bảo mật của Netskope cho biết. 

Hoạt động từ năm 2016, các hacker này có trụ sở tại Nga được biết đến với các cuộc tấn công chống lại các tổ chức tài chính, bao gồm vụ trộm 9,7 triệu đô la từ Ngân hàng MetakkinvestBank của Nga. Vào tháng 8 năm ngoái, nhóm này đã nhắm mục tiêu vào các ngân hàng Nga và Rumani . 

Trong các cuộc tấn công gần đây, tin tặc đã lạm dụng chuyển hướng URL trong các tài liệu giải mã PDF để khiến người dùng tải các phần mềm độc hại. Các URL HTTPS trỏ đến Google App Engine, trong nỗ lực lừa nạn nhân tin rằng họ đang truy cập một tệp hợp pháp từ một nguồn đáng tin cậy như Google.

Được gửi dưới dạng tệp đính kèm vào email và được tạo bằng Adobe Acrobat 18.0, các tệp PDF chứa URL độc hại ở dạng nén trong luồng PDF bằng Giải mã phẳng. 

Các chuyển hướng URL bị lạm dụng trong các sự cố này thuộc danh mục Chuyển hướng không được xác thực và chuyển tiếp theo Dự án bảo mật ứng dụng web mở (OWASP), các nhà nghiên cứu của Netskope chỉ ra trong một báo cáo được chia sẻ với SecurityWeek . 

Một khi URL được truy cập, người dùng đã đăng xuất khỏi appengine.google.com và mã trạng thái phản hồi ‘302’ được tạo để chuyển hướng URL. Khi hành động này được thực thi, người dùng lần lượt được chuyển hướng đến google.com/url bằng cách sử dụng truy vấn Hồi? Và khi sử dụng logic chuyển hướng này, người dùng sẽ bị gửi đến trang đích, các nhà nghiên cứu giải thích. 

Trình đọc PDF thường hiển thị cảnh báo bảo mật khi tài liệu kết nối với trang web, nhưng vì lời nhắc trong trường hợp này có đề cập đến appengine.google.com, nạn nhân dự định có khả năng cho phép truy cập trang web. 

Hơn nữa, một mặc định của YouTube cho phép hành động của người dùng trong các trình đọc PDF phổ biến cũng có thể cho phép kẻ tấn công triển khai các cuộc tấn công mà không kích hoạt cảnh báo bảo mật. Nếu appengine.google.com được các quản trị viên đưa vào danh sách trắng vì những lý do chính đáng, thì cuộc tấn công lại một lần nữa có thể xảy ra. 

Các tệp PDF được sử dụng trong cuộc tấn công này đã tải xuống một tài liệu Microsoft Word với mã macro bị xáo trộn, khiến nạn nhân kích hoạt chỉnh sửa nội dung. Khi điều đó xảy ra, macro được thực thi và tải trọng giai đoạn khác được tải xuống. 

Trong trường hợp này, một tệp .txt được tải xuống và sau đó được kích nổ bằng Trình cài đặt Cấu hình Trình quản lý Kết nối của Microsoft (csmtp.exe). Phương thức này tương tự như kỹ thuật Squizabledoo, trong đó các tập lệnh độc hại được tải bằng các ứng dụng Windows gốc để bỏ qua các giải pháp danh sách trắng của ứng dụng. 

Mặc dù tệp .txt không phục vụ tải trọng, các nhà nghiên cứu bảo mật có thể liên kết cuộc tấn công với nhóm hack Cobalt khét tiếng, được biết đến với việc sử dụng phần mềm độc hại Carbanak cao cấp và cấy ghép Cobalt Strike. 

Các cuộc tấn công gần đây nhắm vào hơn 20 tổ chức ngân hàng, chính phủ và tài chính khác trên toàn cầu, các nhà nghiên cứu bảo mật cho biết. 

Mặc dù kẻ chủ mưu của nhóm đã bị Europol bắt giữ vào ngày 26 tháng 3 năm 2018 , nhưng vẫn có một số cuộc tấn công nhắm mục tiêu được thực hiện bởi nhóm. Dựa trên dòng thời gian của các email được gửi đến các mục tiêu tiềm năng, chúng tôi hy vọng nhóm sẽ tích cực thực hiện các cuộc tấn công, theo ông N Nopeope. 

(Theo Security Week)

0/5 (0 Reviews)

Leave a Comment