據報道,網絡犯罪分子通過濫用谷歌合法云存儲服務托管惡意程序的實體,并通過繞過安全控制破壞企業網絡。
該攻擊是攻擊者針對谷歌云存儲服務域storage.googleapis.com發起的,而全球多家公司使用的都是該服務域。
自八月起,該活動主要針對銀行的員工及位于美國及英國的金融服務公司。
該攻擊起初是通過大規模電郵方式分發的,電郵中包含指向由谷歌云服務托管的惡意網站的釣魚鏈接。
研究人員經分析發現,有4,600個網絡釣魚網站使用了合法托管服務,也可稱為“名譽聯網”,該方法可借知名的流行托管服務來躲避檢測。
鑒于電郵安全系統可檢測惡意附件,攻擊者并未使用惡意附件,相反,他們使用電子郵件中的惡意鏈接以繞過電郵安全系統。
僅有已存在于威脅存儲庫的惡意URL才可能被識別出來,而鑒于攻擊者會不斷改變托管域的負載,這種情況并不常見。
谷歌云存儲的感染過程
首先,攻擊者從被入侵的電郵賬戶發送包含嵌入式URL的電郵啟動整個惡意行動。
偽裝為谷歌云存儲服務合法URL的惡意URL可被用來傳輸兩類程序的實體以感染終端節點:VBS腳本和JAR文件。
攻擊者并未使用大多數網絡犯罪分子使用的經過混淆(偽裝)的惡意VBS腳本。
據Menlo Security稱,這些VBS腳本是由同一工具包創建的,因為這三個腳本似乎都屬于Houdini惡意軟件系列;而經鑒定,我們發現其中一個JAR文件(Swift invoice.jar)屬于Houdini/jRAT惡意軟件系列。
研究人員表示,正在對其他JAR文件展開調查,且認為這些文件應屬于Qrat惡意軟件系列。
-
谷歌
+關注
關注
27文章
6164瀏覽量
105309 -
存儲
+關注
關注
13文章
4298瀏覽量
85806
原文標題:為繞過安全系統,黑客在谷歌云存儲上托管惡意程序的實體
文章出處:【微信號:EAQapp,微信公眾號:E安全】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論