Category: IT security novice

Nova storitev Razvijalca kot Storitev na forumih za hekanje spodbuja ribarjenje in kibernetske napade

Nova storitev Razvijalca kot Storitev na forumih za hekanje spodbuja ribarjenje in kibernetske napade

admin Leave a comment
SCATTERED SPIDER, skupina izsiljevalskih virusov (ransomware), izkorišča infrastrukturo v oblaku za ciljanje na zavarovalniške in finančne sektorje s pomočjo taktik socialnega inženiringa, kot sta vishing in smishing, da bi zavedli tarče in pridobili dostop do njihovih sistemov.

Skupina uporablja ukradene poverilnice, SIM swap in orodja integrirana v oblak, da ohranijo svojo prisotnost. Njihovo globoko razumevanje zahodnih poslovnih praks je omogočilo partnerstvo z BlackCat, kar je povečalo njihovo sposobnost ciljati zahodne organizacije.

Analiza je identificirala tehnike, ki jih SCATTERED SPIDER uporablja za infiltracijo, vztrajnost in izvedbo izsiljevalskih virusov v oblačnih okoljih ter poudarja tveganja, povezana z infrastrukturo v oblaku.

Življenjski cikel nameščanja izsiljevalskih virusov v oblačnih okoljih
Življenjski cikel nameščanja izsiljevalskih virusov v oblačnih okoljih

Napadajo infrastrukturo oblaka z izkoriščanjem uhajanih avtentikacijskih žetonov in z lansiranjem phishing in smishing kampanj, tako da ciljajo na visoko privilegirane račune, zlasti tiste od identitetnih administratorjev, z uporabo taktik socialnega inženiringa in domen s tipičnimi napakami.

Uporabljajo phishing strani, ki posnemajo zakonite oblačne platforme, in SMS sporočila za zavajanje žrtev, da razkrijejo svoje poverilnice, kar jim omogoča nepooblaščen dostop do oblačnih sistemov in potencialno izvedbo nadaljnjih napadov.

Primer uhajanja AWS žetona v GitHub
Primer uhajanja AWS žetona v GitHub

Kiberkriminalna skupina izkorišča ukradna orodja za zbiranje poverilnic, kot je Stealc, za zbiranje avtentikacijskih žetonov v oblačnih storitvah in zaobide MFA zaščitne ukrepe preko tehnik SIM zamenjave, ki se prodajajo na podzemnih forumih, kar napadalcem omogoča dostop do oblačnih virov in SaaS aplikacij.

Skupina zlorablja zakonita orodja v oblaku za ustvarjanje nepooblaščenih virtualnih strojev, krajo podatkov in premikanje po omrežju brez zaznavanja. Analitiki EclecticIQ so identificirali Telekom Enemies, DaaS skupino, kot dobavitelja orodij in storitev, ki jih uporablja SCATTERED SPIDER, vključno s phishing kompleti in zlonamerno programsko opremo.

Admin panel vse-v-enem Phishing kompleta
Admin panel vse-v-enem Phishing kompleta

SCATTERED SPIDER uporablja odprtokodna orodja, kot so AzureAD, ADExplorer, ADRecon in PingCastle za zbiranje informacij iz korporativnega Active Directory s ciljanjem na orodja za upravljanje gesel, omrežno arhitekturo, VDI/VPN konfiguracije, PAM rešitve in osebne podatke znotraj M365.

Prav tako iščejo podatke tretjih oseb in informacije, povezane z izsiljevanjem. Z izkoriščanjem Cross-Tenant Synchronization (CTS) v Microsoft Entra ID vzpostavi vztrajnost in neopažen dostop znotraj kompromitiranih oblačnih okolij.

Napad Cross-Tenant Synchronization v Azure
Napad Cross-Tenant Synchronization v Azure

Napadalci lahko izkoriščajo nastavitve meddejanskih dostopov in federirane identitetne ponudnike za pridobitev vztrajnega dostopa do oblačnih okolij. S kompromitiranimi privilegiranimi računi, vzpostavitvijo sinhronizacije med najemniki in ustvarjanjem zlonamernih računov lahko napadalci prehajajo med različnimi najemniki in izvajajo različne zlonamerne aktivnosti.

Federirani identitetni ponudniki so prav tako ranljivi za zlorabo, kar omogoča napadalcem ustvarjanje zlonamernih federiranih domen, ustvarjanje ponarejenih avtentikacijskih žetonov in vzdrževanje vztrajnega dostopa tudi po prvotnem onemogočenju kompromitiranih računov.

Uporabljajo orodja za oddaljen dostop, kot sta RMM in protokolarno tuneliranje, da ohranijo nadzor nad kompromitiranimi okolji z uporabo tehnik, kot so rezidenčni proxyji in onemogočanje varnostnih orodij za izogibanje zaznavanju.

Linux različica izsiljevalskega virusa BlackCat, ki se prenaša iz BlackBaze
Linux različica izsiljevalskega virusa BlackCat, ki se prenaša iz BlackBaze

Z izkorišč

Nov razvijalec-kot-storitev na forumih za hekanje spodbuja ribarjenje in kiber napade.

Nov razvijalec-kot-storitev na forumih za hekanje spodbuja ribarjenje in kiber napade.

admin Leave a comment

SCATTERED SPIDER Koriščenje Infrastrukture v Oblaku za Napade na Zavarovalniške in Finančne Sektorje

Kibernetska kriminalna skupina SCATTERED SPIDER je nedavno pritegnila pozornost strokovnjakov za kibernetsko varnost zaradi inovativne uporabe infrastrukture v oblaku za izvajanje sofisticiranih napadov na zavarovalniške in finančne sektorje. Napadalci se poslužujejo taktik socialnega inženiringa, kot sta vishing in smishing, da prevarajo ciljane osebe in pridobijo dostop do njihovih sistemov.

Življenjski cikel odkupne programske opreme v okoljih v oblaku

Kompromitiranje Infrastrukture v Oblaku

SCATTERED SPIDER uporablja ukradene poverilnice, zamenjave SIM kartic in različna orodja, ki so naravna za oblak, za vzdrževanje nepooblaščene prisotnosti v sistemih žrtev. Njihovo globoko razumevanje zahodnih poslovnih praks jim je omogočilo sodelovanje s skupino BlackCat, kar je dodatno izboljšalo njihove sposobnosti ciljati na zahodne organizacije.

Primer uhajanja AWS žetona v GitHubu

Skupina uspešno kompromitira infrastrukturo v oblaku z uporabo tactic phishing in smishing za ciljanje visoko privilegiranih računov, predvsem identitetnih administratorjev. Te pogosto zlorabljajo domene, ki vsebujejo tipkarske napake.

Kraja Poverilnic in Avtentikacijskih Žetonov

Analiza je pokazala, da SCATTERED SPIDER uporablja številna orodja za krajo poverilnic, kot je Stealc, za pridobivanje avtentikacijskih žetonov oblačnih storitev. Prav tako se poslužujejo taktike zamenjave SIM kartic, kar jim omogoča zaobid zaščite z večfaktorsko avtentikacijo (MFA).

Skupina zlorablja zakonita orodja za oblak za ustvarjanje nepooblaščenih virtualnih strojev, krajo podatkov in premikanje lateralno znotraj sistema brez odkritja. Telekom Enemies, skupina razvijalcev, kot storitev (DaaS), je identificirana kot dobavitelj teh orodij in storitev, vključno s kompleti za phishing in zlonamerno programsko opremo.

Admin panel kompleta za vse-v-enem phishing.

SCATTERED SPIDER uporablja odprtokodna orodja, kot so AzureAD, ADExplorer, ADRecon, in PingCastle za zbiranje informacij iz korporacijskih okolij Active Directory, ciljanje na orodja za upravljanje gesel, omrežno arhitekturo, VDI/VPN konfiguracije, PAM rešitve in osebne informacije znotraj M365.

Trajna Prisotnost v Okoljih v Oblaku

Napadalci z izkoriščanjem funkcije Cross-Tenant Synchronization (CTS) v Microsoft Entra ID vzpostavijo neopažen dostop znotraj kompromitiranih okoljih v oblaku.

Napad Cross-Tenant Synchronization v Azure.

S kompromitiranjem privilegiranih računov, vzpostavljanjem sinhronizacije med najemniki in ustvarjanjem zlonamernih računov lahko napadalci prehajajo lateralno med več najemniki in izvajajo različne zlonamerne dejavnosti.

Ponudniki zveznih identitet so prav tako ranljivi za zlorabe, kar omogoča napadalcem, da ustvarijo zlonamerne federativne domene, generirajo ponarejene avtentikacijske žetone in ohranijo trajni dostop tudi po tem, ko so začetni kompromitirani računi onemogočeni.

Izogibanje Odkritju in Vzdrževanje Nadzora

Uporabljajo orodja za daljinski dostop, kot je RMM, in protokolarne tunele za vzdrževanje nadzora nad kompromitiranimi okolji, s tehnikami, kot so rezidenčni proxy strežniki in onemogočanje varnostnih orodij, da bi se izognili odkrivanju.

Linux verzija odkupne programske opreme BlackCat, ki se prenaša iz BlackBaze.

Z izkoriščanjem varnostnih orodij žrtev in ustvarjanjem virtualnih strojev, vzpostavijo trajno osnovno točko in izvajajo zlonamerne aktivnosti, manipulirajo poštne transportne pravila in ponovno zaganjajo sisteme v varnem načinu za dodatno preprečevanje varnostnih ukrepov.

SCATTERED SPIDER uporablja različne taktike za pridobivanje nepooblaščenega dostopa do Active

Novi Razvijalec-Kot-Storitev na Hekerskih Forumih spodbuja Ribarjenje in Spletne Napade

Novi Razvijalec-Kot-Storitev na Hekerskih Forumih spodbuja Ribarjenje in Spletne Napade

admin Leave a comment

SCATTERED SPIDER, skupina za izsiljevalsko programsko opremo, izkorišča infrastrukturo v oblaku za ciljanje na sektorje zavarovalništva in financ s pomočjo taktik socialnega inženiringa, kot sta vishing in smishing, za prevaro tarč in pridobitev dostopa do njihovih sistemov.

Skupina uporablja ukradene poverilnice, zamenjavo SIM kartic in orodja, ki so naravna za oblak, za vzdrževanje prisotnosti, saj jim je njihovo globoko razumevanje zahodnih poslovnih praks olajšalo partnerstvo z BlackCat, kar jim je izboljšalo sposobnost ciljati zahodne organizacije.

Analiza je identificirala tehnike, ki jih uporablja SCATTERED SPIDER za infiltracijo, vzdrževanje prisotnosti in izvedbo izsiljevalske programske opreme v okolju oblaka, pri čemer so izpostavljena tveganja, povezana z infrastrukturo v oblaku.

Življenjski cikel uvedbe izsiljevalske programske opreme v okolju oblaka

Kompromitira infrastrukturo oblaka z izkoriščanjem razkritih avtorizacijskih žetonov in lansiranjem kampanj phishing in smishing s ciljanjem na račune z visokimi pooblastili, zlasti račune administratorjev identitete, ter uporabo taktik socialnega inženiringa in domen tipkarske prevare.

Skupina uporablja phishing strani, ki posnemajo legitimne oblačne platforme, in SMS sporočila, da zavaja žrtve in pridobi njihove poverilnice, kar jim omogoča nepooblaščen dostop do sistemov oblaka in potencialno izvedbo nadaljnjih napadov.

Primer AWS puščanja žetona v GitHubu

Kibernetska zločinska skupina izkorišča kradljivce poverilnic, kot je Stealc, za pridobivanje avtorizacijskih žetonov oblačnih storitev in zaobide zaščite MFA s tehnikami zamenjave SIM kartic, ki se prodajajo na podzemnih forumih, kar napadalcem omogoča dostop do oblačnih virov in SaaS aplikacij.

Skupina zlorablja legitimna oblačna orodja za ustvarjanje nepooblaščenih VM, krajo podatkov in gibanje po omrežju neopaženo. Analitiki EclecticIQ so identificirali Telecom Enemies, skupino DaaS, kot dobavitelja orodij in storitev, ki jih uporablja SCATTERED SPIDER, vključno s phishing kompleti in zlonamerno programsko opremo.

Upravna plošča All-in-One Phishing Kit.

SCATTERED SPIDER uporablja odprtokodna orodja, kot so AzureAD, ADExplorer, ADRecon in PingCastle, za zbiranje informacij iz korporativnih Active Directory ciljnih sistemov. S temi informacijami cilja orodja za upravljanje gesel, omrežno arhitekturo, VDI/VPN konfiguracije, rešitve PAM in osebne informacije znotraj M365.

Prav tako iščejo podatke tretjih oseb in informacije povezane z izsiljevanjem. S pomočjo sinhronizacije prek najemnikov (CTS) v Microsoft Entra ID, vzpostavijo prisotnost in neopaženi dostop v kompromitiranem oblačnem okolju.

Napad sinhronizacije prek najemnikov v Azure.

Napadalci lahko izkoriščajo nastavitve sinhronizacije prek najemnikov in ponudnikov federiranih identitet za pridobitev vztrajnega dostopa do oblačnih okolij. S kompromitacijo privilegiranih računov, vzpostavljanjem sinhronizacije med najemniki in ustvarjanjem zlonamernih računov, lahko napadalci premikajo lateralno med več najemniki in izvajajo različne zlonamerne dejavnosti.

Ponudniki federiranih identitet so prav tako ranljivi za zlorabe, kar napadalcem omogoča ustvarjanje zlonamernih federiranih domen, ustvarjanje ponarejenih avtorizacijskih žetonov in vzdrževanje prisotnega dostopa tudi po tem, ko so začetni kompromitirani računi onemogočeni.

Izkoristi oddaljena dostopna orodja, kot sta RMM in protokolski predor, za vzdrževanje nadzora nad kompromitiranimi okolji s pomočjo tehnik kot so rezidenčni posredniki in onemogočajo varnostna orodja za izogibanje zaznavanju.

ToneShell: Vrata zadaj, ki izkoriščajo certifikate RDP za tarčenje VIP-jev

ToneShell: Vrata zadaj, ki izkoriščajo certifikate RDP za tarčenje VIP-jev

admin Leave a comment

TonShell zadnja vrata uporabljena za ciljanje udeležencev obrambnega vrha IISS 2024 v Pragi

Skupina groženj Mustang Panda, povezana z orodjem za kibernetsko vohunjenje TonShell, je bila nedavno vpletena v ciljanje na udeležence prestižnega obrambnega vrha IISS v Pragi leta 2024. Ta dogodek, osredotočen na obrambo in varnost v evroatlantski regiji, je postal tarča napadalcev, ki si prizadevajo pridobiti občutljive varnostne in obrambne informacije.

Sumljiv izvršljiv program razkriva kibernetsko grožnjo

Analitiki so med triažo na Hatching Triage platformi odkrili sumljiv izvršljiv program “IISS PRAGUE DEFENCE SUMMIT (8–10 November 2024).exe”, ki je vzbudil skrb zaradi svojega pomena za visokoprofilni dogodek. Nadaljnja preiskava je pokazala, da je program povezan z napadalnimi dejavnostmi skupine Mustang Panda.

Pri analizi PCAP je bil razkrit omrežni promet, ki je komuniciral s C2 strežnikom s tipičnimi znaki “17 03 03”. To je nakazovalo na uporabo zlonamerne programske opreme Toneshell in PubLoad. Poleg tega je isti izvršljiv program pokazal podobno obnašanje na platformi ANY.RUN, kar je še dodatno utrdilo sume o zlonamerni naravi programa.

Načini napada: Družbeni inženiring in lažni dokumenti

Navedeni arhiv je uporabil družbene inženirske taktike skozi ponarejen PDF. Po ekstrakciji arhiva so bile razkrite dve mapi: ena je vsebovala zlonamerni izvršljiv program, druga pa na videz legitimni PDF z naslovom “Annex 2 – IISS PRAGUE DEFENCE SUMMIT… – Copy.pdf.”

Preiskava je pokazala, da je PDF natančna kopija pravega dokumenta, ki je na voljo na spletni strani IISS, z edino razliko v imenu datoteke. Namen je bil zmanjšati sumljivost, da bi napačni dokument omogočil delovanje zlonamerne programske opreme v ozadju brez zaznavanja.

Napadalci so poslali ZIP datoteko, ki je vsebovala lažni PDF in zlonamerno PIF datoteko, ki se je predstavljala kot dokument z dnevnim redom. Ta je izvajala SFFWallpaperCore.exe in libemb.dll ter uporabljala načrtovano opravilo za zagon SFFWallpaperCore.exe vsakih 6 minut.

SFFWallpaperCore.exe je verjetno naložil libemb.dll, DLL knjižnico Mustang Panda, ki vsebuje sklice na Twitter račune in komunicira s C2 strežnikom na 103.27.108.14 na portu 443 s surovim TCP, preoblečenim v TLS protokol.

Napadalne taktike skupine Mustang Panda

APT skupina Mustang Panda uporablja samo-podpisane RDP certifikate za skrivanje svojega C2 strežnika, ki gostuje na ASN podjetja Topway Global Limited iz Hongkonga. RDP certifikat je bil izdan 25. avgusta 2021 in je bil veljaven le kratek čas.

Napredno iskanje portala Hunt je identificiralo druge strežnike, ki uporabljajo isti certifikat; razen enega so vsi na istem ASN kot C2 strežnik, kar nakazuje, da so ti strežniki verjetno pod nadzorom istega napadalca in se uporabljajo za ohranjanje operativnega nadzora in prilagodljivosti.

Prav tako Preberite:

RAMBO: Novi kibernetski napad, ki ugrablja podatke iz sistemov s fizično ločitvijo

❕Če imate komentarje ali želite deliti svoje misli, prosimo, da jih pustite spodaj ali delite to novico na socialnih omrežjih!

URL izvora novice: https://cyberpress.org/hackers-can-clone-your-device-by-extracting-secret-keys/

Ranljivost v aplikaciji WPS Office omogoča izvršenje poljubne kode

Ranljivost v aplikaciji WPS Office omogoča izvršenje poljubne kode

admin Leave a comment

APT-C-60 izkorišča ranljivost v WPS Office za napad na Vzhodno Azijo

APT-C-60, zloglasna skupina za kibernetsko vohunjenje, povezana z Južno Korejo, je bila ugotovljena ob izkoriščanju kritične ranljivosti (CVE-2024-7262) v priljubljeni programski opremi za pisarniško delo, WPS Office za Windows, z namenom izvajanja kod in pridobivanja podatkov v državah Vzhodne Azije.

Raziskave so pokazale, da je skupina APT-C-60 uporabljala alternativni način izkoriščanja poškodovane kode (CVE-2024-7263). Ta metoda je omogočila napadalcem, da so brez vednosti uporabnikov izvajali poljubno kodo na ranljivih sistemih ter tako pridobili dostop do številnih občutljivih podatkov.

Zero-day ranljivost omogoča zlonamerne napade

Zloraba zero-day ranljivosti v WPS Office je omogočila napadalcem, da so dostavljali zlonamerno programsko opremo metodično in ciljno na uporabnike v Vzhodni Aziji. S pomočjo vdelave zlonamernih hiperpovezav v MHTML datoteke so lahko izkoriščeni uporabniki postali žrtve napadov in kompromitacije njihovih sistemov.

slika, ki skriva zlonamerno hiperpovezavo
Dokument z izkoriščanjem vsebuje sliko, ki skriva zlonamerno hiperpovezavo.

Počasna rešitev problema povzroča zaskrbljenost

Raziskovalci pri ESET so opozorili razvijalca programske opreme, podjetje Kingsoft, na ranljivost. Kingsoft je sicer tiho odpravil ranljivost, vendar brez javnega obvestila o izkoriščanju. Takšno delovanje je povzročilo zaskrbljenost, saj ranljivost še naprej predstavlja grožnjo uporabnikom WPS Office, ki morda niso vedeli za potrebo po nadgradnji programske opreme.

Tehnična analiza izkoriščanja WPS Office

APT-C-60 je ranljivost v WPS Office izkoristil s pomočjo protokola ksoqing za izvajanje zlonamerne kode. Če je uporabnik kliknil na posebej oblikovano hiperpovezavo, je aplikacija WPS Spreadsheet zagnala wps.exe, ki je nato naložila zlonamerno DLL datoteko iz oddaljene lokacije in izvršila poljubno kodo, kar je napadalcem omogočilo nadzor nad sistemom žrtve.

Ranljivost je bila omogočena z uporabo specifičnega formata hiperpovezav, ki je vključevala base64 kodirano ukazno vrstico in token, ki je preverjal avtentičnost ukaza.

potek kontrole izkoriščanja
Pregled nad potekom kontrole izkoriščanja

Napadalci so za prenos in shranjevanje zlonamerne knjižnice na sistem izkoriščali MHTML format WPS Office. Premišljeno so vstavili img oznako z oddaljenim URL-jem v MHTML datoteko, ki je knjižnico prenesla na predvidljivo lokacijo pod %localappdata%\Temp\wps\INetCache\.

Slednje so omogočile relativne poti iz osnovnega direktorija WPS Office za nalaganje knjižnice mimo problema z .dll pripono z znakom pika na koncu sproženega po odprtju MHTML datoteke ali kliku na povezano sliko v njej. To je vplivalo na različice WPS Office od 12.2.0.13110 do 12.1.0.16412.

klicni sklad med nalaganjem knjižnice
Podrobnosti klicnega sklada med nalaganjem naše knjižnice

Težave z varnostnim popravkom

Popravek, ki ga je Kingsoft uvedel za omilitev CVE-2024-7262, je vseboval napako, ki bi jo napadalci izkoristili za izvajanje kode. Manipulacija z velikostjo črk imenovnih spremenljivk JSCefServicePath in CefPluginPathU8 je omogočila napadalcem, da so obšli predvidene varnostne preveritve in naložili poljubne knjižnice.

Medtem ko je popravek pravilno preverjal podpis knjižnice, naložene iz JSCefServicePath, ni enako ravnal s CefPluginPathU8, kar je napadalcem omogočilo zamenjavo legitimne libcef.dll z zlonamerno različico, kar bi lahko privedlo do oddaljenega izvajanja kode.

preverjanje podpisa knjižnice
Preverjanje podpisa knjižnice, ki se nalaga

Navodila za zaščito sistemov

Novi zlonamerni program Voldemort skriva ukradene podatke v Google Sheets

Novi zlonamerni program Voldemort skriva ukradene podatke v Google Sheets

admin Leave a comment

Akter grožnje, “Voldemort”, je izvedel sofisticirano kampanjo, usmerjeno proti različnim organizacijam po vsem svetu, z uporabo nove verige napadov, v katero je vključil Google Sheets za poveljevanje in nadzor ter druge nenavadne taktike.

“Voldemort” je bil prilagojen program za dostop v hrbtno dver napisan v C, z zmožnostmi za izčrpavanje podatkov in dostavo dodatnih vsebin, kar je bilo del napredne trajne grožnje (APT) kampanje usmerjene v obveščevalno dejavnost, verjetno z uporabo Cobalt Strike kot potencialne vsebine.

Zlonamerna kampanja, ki je uporabljala zlonamerno programsko opremo Voldemort, je bila usmerjena na več kot 70 organizacij po vsem svetu, s pomembnim porastom aktivnosti 17. avgusta. S posnemanjem davčnih organov iz različnih držav je akter grožnje poslal več kot 20.000 e-poštnih sporočil, prilagojenih državi prebivališča cilja.

Osredotočila se je na specifične vertikale, zlasti zavarovalnice, letalsko in vesoljsko industrijo, transport in univerze, s pošiljanjem e-poštnih sporočil s kompromitiranih domen, ki so posnemala pravo domeno davčnega organa.

Phishing napad se začne z URL-jem Google AMP Cache v e-pošti, ki preusmeri na ciljno stran, ki preveri User-Agent in dostavi različne vsebine odvisno od operacijskega sistema.

Za uporabnike Windows, klik na povezavo sproži Windows Search poizvedbo, ki preusmeri na zlonamerno LNK datoteko, maskirano kot PDF, ki izvaja Python skripto, ki zbere informacije o sistemu, jih pošlje napadalcu, prenese lažni PDF in naloži hrbtno dver imenom Voldemort, maskirano kot Cisco datoteka.

APT akterji uporabljajo kombinacijo tehnik, običajno najdenih v kibernetskih kriminalnih in vohunskih kampanjah, z zlorabo shem URI datotek za dostop do zunanjih virov za delitev datotek za pripravo zlonamerne programske opreme in uporabo TryCloudflare tunelov za oddaljen dostop do podatkov.

Akterji zlorabljajo format shranjene iskalne datoteke (.search-ms) za shranjevanje iskalne poizvedbe kot datoteke na WebDAV delu, kar jim omogoča, da skrijejo elemente, ki bi sicer nakazovali, da žrtev ni v mapi na svojem lokalnem računalniku.

Zlonamerna programska oprema izkorišča ranljivost v CiscoCollabHost.exe za izvajanje zlonamernega DLL, ki se nato uporablja za vzpostavitev komunikacije z C2 strežnikom, ki temelji na Google Sheets, z uporabo edinstvene tehnike poziva API in dešifriranjem nizov z uporabo prilagojenega algoritma.

Iskal je specifično oznako v svoji lastni datoteki za iskanje svoje konfiguracije, ki vsebuje informacije, potrebne za povezavo s C2. Po avtentikaciji z Google Sheets je zlonamerna programska oprema brala in pisala podatke v določen list, kar je napadalcem omogočalo izdajo ukazov in prejem statusnih posodobitev.

Raziskovalci pri ProofPoint so odkrili, da je zlonamerna programska oprema uporabljala Google Sheet za shranjevanje podatkov o žrtvah in izvajanje ukazov. Z analizo Google Sheeta in povezanih Google Drive datotek so identificirali več žrtev, vključno s peskovnikom in znanimi raziskovalci.

Našli so tudi učna gradiva, povezana s kodo programske opreme OpenWRT in z geslom zaščiten arhiv 7-zip, ki je vseboval DLL in izvršljivo datoteko.

Izvršljiva datoteka je bila ranljiva za nalaganje DLL in bi jo lahko uporabili za injiciranje Cobalt Strike Beacon. Raziskovalci so izvlekli konfiguracijo Cobalt Strike, ki je razkrila domeno in URI, uporabljene za komunikacijo.