报告:像Slack和Discord这样的协作工具越来越多地用于传播恶意软件,通常使用该工具自己的CDN和API来逃避检测
像威胁演员一样渗透的工作流程和协作工具,他们正在滥用他们的合法职能,以逃避安全和提供信息窃取器,远程访问特洛伊木马(RAT)和其他恶意软件。
大流行引起的遥控器的转变将业务流程推出到2020年的这些协作平台上,并且可预测地,2021年迎来了攻击它们的新级网络犯罪专业知识。
思科的Talos Cyberseecurity团队在本周的一份关于合作应用程序滥用的报告中表示,在过去的一年中,威胁行动者越来越多地使用了不和谐的应用程序,并将用户松懈地开启恶意附件,并部署各种大鼠和盗贼,包括代理特斯拉,asyncrat,formbook和别的。
“与恶意软件交付相关的关键挑战之一是确保文件,域或系统没有被删除或阻止,”Talos研究人员在其报告中解释说。 “通过利用可能允许的这些聊天应用程序,他们正在删除其中几个障碍,大大增加了附件到期用户的可能性。”
研究人员解释说,Slack,Discord和其他协作应用程序平台使用内容传递网络(CDN)来存储在频道内来回共享的文件。例如,Talos使用Discord CDN,该CDN可由Internet上的任何人从任何地方的硬编码CDN URL访问。
“此功能不具体说明。其他协作平台,如松弛有类似的功能,“塔罗斯报道。 “可以上传文件以松懈,用户可以创建允许访问文件的外部链接,无论收件人是否已安装懈怠。”
球队说,这是诀窍是让用户点击恶意链接。一旦它逃避安全检测,就是让员工认为这是一个真正的商业沟通,这是一个在协作应用程序频道的范围内更轻松的任务。
这也意味着攻击者可以将他们的恶意有效载荷提供给加密的HTTPS的CDN,并且根据TALOS的情况将压缩文件,进一步伪造内容。在过去的一年中,他们观察了许多正在使用的常见压缩算法,包括.ace,.gz,.tar和.zip,以及几种不太常见的类型,如.lzh。
“在大多数情况下,[邮件]本身与近年来我们所习惯的习惯,”近年来,“Talos说。 “许多[邮件]声称与各种金融交易相关联,并包含与潜在受害者的发票,采购订单和其他潜在受害者的文件的联系。”
他们补充说,攻击者用攻击者提供了攻击者,包括英语,西班牙语,法语,德语和葡萄牙语。
CDN也是网络犯罪分子的便利工具,以提供具有多级感染策略的额外虫子。研究人员在恶意软件中看到了这种行为,增加了一个Discord CDN搜索在Virustotal中出现了近20,000个结果。
“这种技术经常使用与大鼠,盗窃者和其他类型的恶意软件相关联的恶意软件分发活动,通常用于从受感染系统中检索敏感信息,”Talos团队解释说。
该团队使用此屏幕截图来说明对不和谐的这种类型的攻击,显示了一首级恶意软件,任务从Discord CDN获取ASCII BLOB。报告称,Discord CDN的数据被转换为最终的恶意有效载荷并将远程注入。
报告添加了“与REMCOS感染一样,与REMCOS感染相常见,恶意软件通过攻击者控制的DNS服务器通信并通过攻击者控制的DNS服务器。 “攻击者通过创建注册表运行条目来实现持久性,以调用系统重新启动后的恶意软件。”
在使用Asyncrat的另一个广告系列中,恶意软件下载器看起来像一个空白的Microsoft文档,但是在打开的使用宏时提供错误。
Discord API已成为攻击者的有效工具,用于从网络中删除数据。 C2通信通过WebHook启用,研究人员被开发的研究人员向特定的Discord服务器发送自动消息,这些消息经常与GitHub或DataDog等附加服务相关联。
“Webhook基本上是客户端可以发送消息的URL,这反过来将该消息发布到指定的频道 - 所有情况都不使用实际的discord应用程序,”他们说。 Dissord域帮助攻击者伪装数据通过查看网络的任何其他流量来掩盖数据。
“Discord Webhooks的多功能性和可访问性使其成为某些威胁演员的清晰选择,根据分析:”仅仅带有一些被盗的访问令牌,攻击者可以使用真正有效的恶意软件活动基础设施,努力很少。对于一些威胁演员来说,匿名程度太诱人了。“
Talos说,这种通信流也可以用于提醒攻击者,并提供有关他们已经渗透的人的更新信息。
该团队还观察到与Pay2decrypt Liquid ransomware相关联的活动,该软件使用C2,Data Exfiltration和Bot注册的Discord API,除了Discord Webhooks进行攻击者和系统之间的通信。
报告称,“在成功感染后,存储在系统上的数据不再可用,并显示以下赎金说明”。他们提供了感染后用户收到的赎金笔记的屏幕截图:
Discord为每个用户生成一个字母数字字符串,或者访问令牌,根据TALOS,攻击者可以窃取劫持账户,他们添加了他们看到这个经常瞄准在线游戏。
“在撰写本文时,不和谐不实现客户验证,以防止通过被盗访问令牌的冒充,”根据Talos。 “这导致了大量的Discord Token-Saveers正在进行和分发GitHub和其他论坛。在许多情况下,令牌偷窃者作为与在线游戏相关的有用的公用事业,因为Discord是游戏社区中最普遍的聊天和协作平台之一。“
然后,这些帐户用于匿名提供恶意软件和社会工程目的,它们增加。
根据专家的说法,解决方案与威胁本身就像威胁一样,需要多面对面。据奥利弗塔·塔拉利的Vectra奥利弗塔利亚州的奥利弗拉哈里人表示,将更多安全性的主要责任在平台上。
“这一趋势将继续,直到这些协作工具的供应商提供更多努力,为锁定环境并添加更多的遥测来监控环境,”Tavakoli告诉威胁普通。 “它还需要安全供应商来加强并使用遥测来检测和阻止这些通信渠道内的攻击。”
在商业方面,Mark Kedgley,CTO在新的网科技,建议重点关注用户特权。
“为了缓解风险,需要更多关注最小特权,因为用户仍然太常见了当地管理员权限,”kedgley建议使用。 “电子邮件和Office应用程序提供了许多硬件和网络钓鱼的硬化设置;但是,没有足够的组织利用它们。更改控制和漏洞管理作为核心安全控件也应该到位。“
但从根本上说,预计任何企业或任何用户如何留在通信渠道的最高目前,今天的工人狂热地试图维持?简化是缩小攻击表面的一种方式,使用户能够注意到他们的互动的安全性,克里斯哈特顿与着眼。
“大多数组织都有太多的通信工具:手机和平板电脑上的电子邮件,协作和消息传递平台,网络会议聊天和短信,”Hazelton表示。 “这意味着用户被淹没,因为它们与跨多个平台的不同或有时相同的人进行通信。这导致对共享合作平台和其他通信工具共享风险的较小。“
曾经想过在地下网络犯罪论坛上发生了什么?查找4月21日下午2点在自由威胁突发事件期间,“地下市场:巡视黑暗经济。”专家将带您参加一个导游的黑色网络之旅,包括待售的内容,它的成本是多少,黑客如何共同努力以及用于黑客的最新工具。 4月21日的Live活动注册。
