在威胁行为者滥用合法基础设施达到邪恶目的的最新演变中,新的调查结果表明,民族国家黑客组织已经加入了利用社交平台针对关键基础设施的竞争。
近年来,Discord 已成为一个利润丰厚的目标,它成为利用其内容交付网络 (CDN)托管恶意软件的沃土,并允许信息窃取者从应用程序中窃取敏感数据,并通过网络钩子促进数据泄露。
Trellix 研究人员 Ernesto Fernández Provecho 和 David Pastor Sanz在周一的一份报告中表示:“Discord 的使用很大程度上仅限于任何人都可以从互联网上购买或下载的信息窃取程序和抓取程序。”
但这种情况可能正在改变,因为这家网络安全公司表示,它发现了针对乌克兰关键基础设施的工件的证据。目前没有证据表明它与已知的威胁组织有关。
研究人员指出:“利用 Discord 功能的 APT 恶意软件活动的潜在出现给威胁环境带来了新的复杂性。”
该样本是一个 Microsoft OneNote 文件,通过冒充非营利组织 dobro.ua 的电子邮件进行分发。
该文件一旦打开,就会包含对乌克兰士兵的引用,这些士兵会通过点击一个诱杀按钮来诱骗接受者捐款,从而导致执行 Visual Basic 脚本 (VBS),该脚本旨在提取并运行 PowerShell 脚本,以便下载另一个 PowerShell来自 GitHub 存储库的脚本。
就其本身而言,在最后阶段,PowerShell 利用 Discord Webhook 来窃取系统元数据。
研究人员表示:“最终有效载荷的唯一目标是获取有关系统的信息,这表明该活动仍处于早期阶段,这也符合使用 Discord 作为[命令和控制]。”
“但是,需要强调的是,攻击者将来可以通过修改 GitHub 存储库中存储的文件,向受感染的系统发送更复杂的恶意软件。”
Trellix 的分析进一步显示,SmokeLoader、PrivateLoader 和 GuLoader 等加载程序是最流行的恶意软件家族之一,它们利用 Discord 的 CDN 下载下一阶段的有效负载,包括 RedLine、Vidar、Agent Tesla 和 Umbral 等窃取程序。
最重要的是,使用 Discord Webhook 观察到的一些常见恶意软件家族包括 Mercurial Grabber、Stealerium、Typhon Stealer 和 Venom RAT。
研究人员表示:“滥用 Discord 的 CDN 作为额外恶意软件有效负载的分发机制,展示了网络犯罪分子利用协作应用程序获取利益的适应性。”
“APT 以其复杂和有针对性的攻击而闻名,通过渗透广泛使用的通信平台(如 Discord),它们可以有效地在网络中建立长期立足点,使关键基础设施和敏感数据面临风险。”
转自安全客,原文链接:https://www.anquanke.com/post/id/290833
封面来源于网络,如有侵权请联系删除