APT-группировка DarkHydrus управляет трояном RogueRobin через Google Диск

image

Теги: Google Диск, DarkHydrus, RogueRobin, вредоносное ПО, троян

Новый вариант RogueRobin использует Google Диск в качестве альтернативного канала для получения команд.

APT-группировка DarkHydrus запустила новую вредоносную кампанию. Злоумышленники взяли на вооружение обновленный вариант трояна RogueRobin и в качестве альтернативного канала связи с ним используют Google Диск.

В ходе последней кампании группировка атаковала цели на Среднем Востоке. Троян попадал на компьютеры жертв через документ Excel с вредоносным кодом VBA (макросом). Атака была зафиксирована 9 января 2019 года специалистами китайского 360 Threat Intelligence Center (360 TIC). Эксперты отнесли ее на счет группировки DarkHydrus, которую «Лаборатория Касперского» называет Lazy Meerkat.

В 360 TIC обнаружили, что макросы во вредоносном документе загружают файл .TXT, а затем запускают его с помощью легитимной программы regsvr32.exe. Через несколько этапов на атакуемую систему в итоге загружается написанный на C# бэкдор.

По словам специалистов из Palo Alto Networks Unit 42, в текстовом файле скрывается файл Windows Script Component (.SCT), загружающий версию трояна RogueRobin. Как правило, эта полезная нагрузка базируется на PowerShell, но, похоже, киберпреступники портировали ее в компилированный вариант.

DarkHydrus компилировали RogueRobin с добавлением новой функции, позволяющей трояну использовать Google Диск в качестве альтернативного канала связи для получения инструкций. Команда x_mode отключена по умолчанию, однако ее можно включить через канал туннелирования DNS – основной канал связи трояна с C&C-сервером.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.