黑客通過濫用谷歌合法云存儲服務(wù)托管惡意程序的實(shí)體

據(jù)報道，網(wǎng)絡(luò)犯罪分子通過濫用谷歌合法云存儲服務(wù)托管惡意程序的實(shí)體，并通過繞過安全控制破壞企業(yè)網(wǎng)絡(luò)。

該攻擊是攻擊者針對谷歌云存儲服務(wù)域storage.googleapis.com發(fā)起的，而全球多家公司使用的都是該服務(wù)域。

自八月起，該活動主要針對銀行的員工及位于美國及英國的金融服務(wù)公司。

該攻擊起初是通過大規(guī)模電郵方式分發(fā)的，電郵中包含指向由谷歌云服務(wù)托管的惡意網(wǎng)站的釣魚鏈接。

研究人員經(jīng)分析發(fā)現(xiàn)，有4,600個網(wǎng)絡(luò)釣魚網(wǎng)站使用了合法托管服務(wù)，也可稱為“名譽(yù)聯(lián)網(wǎng)”，該方法可借知名的流行托管服務(wù)來躲避檢測。

鑒于電郵安全系統(tǒng)可檢測惡意附件，攻擊者并未使用惡意附件，相反，他們使用電子郵件中的惡意鏈接以繞過電郵安全系統(tǒng)。

僅有已存在于威脅存儲庫的惡意URL才可能被識別出來，而鑒于攻擊者會不斷改變托管域的負(fù)載，這種情況并不常見。

谷歌云存儲的感染過程

首先，攻擊者從被入侵的電郵賬戶發(fā)送包含嵌入式URL的電郵啟動整個惡意行動。

偽裝為谷歌云存儲服務(wù)合法URL的惡意URL可被用來傳輸兩類程序的實(shí)體以感染終端節(jié)點(diǎn)：VBS腳本和JAR文件。

攻擊者并未使用大多數(shù)網(wǎng)絡(luò)犯罪分子使用的經(jīng)過混淆（偽裝）的惡意VBS腳本。

據(jù)Menlo Security稱，這些VBS腳本是由同一工具包創(chuàng)建的，因?yàn)檫@三個腳本似乎都屬于Houdini惡意軟件系列；而經(jīng)鑒定，我們發(fā)現(xiàn)其中一個JAR文件（Swift invoice.jar）屬于Houdini/jRAT惡意軟件系列。

研究人員表示，正在對其他JAR文件展開調(diào)查，且認(rèn)為這些文件應(yīng)屬于Qrat惡意軟件系列。