Neue Malware nutzt Google Drive Cloud zur Steuerung infizierter Computer

Da die meisten Sicherheits-Tools auch den Netzwerkverkehr im Auge behalten, um böswillige IP-Adressen zu erkennen, übernehmen Angreifer zunehmend die Infrastruktur anderer Dienste in ihren Angriffen, um ihre bösartigen Aktivitäten zu verbergen. Cybersecurity-Forscher haben nun eine neue Malware-Angriffskampagne entdeckt, die mit der berüchtigten APT-Gruppe DarkHydrus in Verbindung steht, die Google Drive als Kommando-und Kontrollserver (C2) nutzt.

DarkHydrus kam im August letzten Jahres zum ersten Mal ans Licht, als die APT-Gruppe das Phishery-Werkzeug nutzte, um eine Kampagne zur Erbeutung von Staatsanleihen und Bildungseinrichtungen im Nahen Osten durchzuführen. Die jüngste böswillige Kampagne der DarkHydrus APT-Gruppe wurde laut Berichten des 360 Threat Intelligence Center (360TIC) und Palo Alto Networks auch gegen Ziele im Nahen Osten beobachtet.

Diesmal verwenden die fortgeschrittenen Angreifer eine neue Variante ihres Backdoor-Trojaners namens RogueRobin, der die Computer der Opfer infiziert, indem er sie dazu bringt, ein Microsoft Excel-Dokument mit eingebetteten VBA-Makros zu öffnen, anstatt eine Zero-Day-Schwachstelle von Windows auszunutzen.

Wenn Sie das Makro aktivieren, wird eine bösartige Textdatei  im temporären Verzeichnis abgelegt und dann die legitime Anwendung "regsvr32.exe" zum Ausführen verwendet, um schließlich den RogueRobin-Backdoor auf dem betroffenen System zu installieren. Laut den Forschern von Palo Alto beinhaltet RogueRobin viele Stealth-Funktionen, um zu überprüfen, ob es in der Sandbox-Umgebung ausgeführt wird, einschließlich der Überprüfung auf virtualisierte Umgebungen, niedrigen Speicherplatz, Prozessorzählungen und gängige Analysetools, die auf dem System ausgeführt werden. Es enthält auch Anti-Debug-Code.

Wie die Originalversion verwendet auch die neue Variante von RogueRobin DNS-Tunneling - eine Technik zum Senden oder Abrufen von Daten und Befehlen über DNS-Abfragepakete - zur Kommunikation mit dem Command and Control Server. Forscher entdeckten jedoch, dass die Malware neben dem DNS-Tunneling auch so konzipiert ist, dass sie die Google Drive-APIs als alternativen Kanal zum Senden von Daten und Empfangen von Befehlen von den Hackern verwendet.

RogueRobin lädt eine Datei in das Google Drive-Konto hoch und überprüft kontinuierlich die Änderungszeit der Datei, um zu sehen, ob der Akteur Änderungen an ihr vorgenommen hat. Der Akteur wird die Datei zunächst so modifizieren, dass sie eine eindeutige Kennung enthält, die der Trojaner für die zukünftige Kommunikation verwendet, sagen Forscher von Palo Alto.

Die neue Malware-Kampagne deutet darauf hin, dass sich die APT-Hacking-Gruppen mehr darauf konzentrieren, legitime Dienste für ihre Befehls- und Kontrollinfrastruktur zu missbrauchen, um der Erkennung zu entgehen. Da es sich bei VBA-Makros um eine legitime Funktion handelt, kennzeichnen die meisten Antivirenlösungen keine Warnungen oder blockieren MS-Office-Dokumente mit VBA-Code.

Der beste Weg, sich vor solchen Malware-Angriffen zu schützen, besteht darin, immer misstrauisch gegenüber nicht erwarteten Dokumenten zu sein, die per E-Mail versendet werden, und niemals auf Links innerhalb dieser Dokumente zu klicken, es sei denn, die Quelle wird ordnungsgemäß überprüft.