Grupo Carbanak usa o Google para o comando e controle de malware

Em 2015, a Carbanak Gang, agora infames criminosos, tirou um bilhão de dólares cibernético assalto - no que seria o primeiro de muitos atividades criminosas conhecidas pelo grupo - colocá-los no radar de muitos pesquisadores de segurança ao redor do globo.

Nas últimas semanas, o Forcepoint Security Labs está investigando uma nova ameaça que nós ligamos ao Carbanak Group, que usa alarmantemente o Google Apps Script para comunicação de comando e controle (C & C). O uso de um serviço de terceiros, como o Google, permite que o malware se esconda à vista e funcione com sucesso, muitas vezes não bloqueado por padrão na maioria dos sistemas, pois parece ser uma fonte confiável.

O Forcepoint agora está trabalhando com o Google para garantir que eles estejam plenamente informados sobre o ataque e tenham as estratégias corretas de mitigação no lugar.

Quem são Carbanak?

Carbanak (também conhecido como Anunak) agora são entendidos como um grupo de criminosos financeiramente motivados que normalmente roubam de instituições financeiras usando malware direcionado. No entanto, ao longo dos anos desde a sua descoberta, as metas incluíram uma gama de vítimas, da indústria financeira para a indústria da hospitalidade e muito mais. Recentemente, uma nova campanha de ataque Carbanak apelidado de "Plagiarist Digital" foi exposto em que o grupo usou como arma documentos de escritório hospedadas em domínios espelhadas, para distribuir malware.

Esses ataques geralmente envolveram a segmentação de campanha estilo perseguição persistente avançada (APT). Campanhas APT, que envolvem malware operando sem ser detectado em sistemas vulneráveis ​​por longos períodos de tempo, e são tipicamente muito encobertas com sistemas externos de comando e controle monitorando e extraindo continuamente dados do alvo.

Que ameaça foi investigada?

As últimas descobertas da Forcepoint Security Labs mostraram como a ameaça cibernética representada por Carbanak está em constante evolução. As investigações mais recentes que nós ligamos ao grupo criminoso de Carbanak descobriram um documento RTF trojanized. O documento contém um Script Visual Basic codificado (VBScript) típico do malware anterior do Carbanak, no entanto o achado mais preocupante foi que as amostras recentes do malware agora incluíram a capacidade de usar os serviços do Google para C & C comunicação uma evolução da comunicação C & C externa anterior .

Abaixo, incluímos uma visão geral das etapas envolvidas nesses ataques, bem como medidas preventivas que as organizações podem tomar para se protegerem.

Sobre o documento com armas

O documento RTF analisamos tem um incorporado OLE objeto que contém um arquivo VBScript. Quando o documento é aberto o usuário alvejado é atraído em duplo clique sobre o objeto OLE incorporado que é disfarçado como uma imagem.

Clicando duas vezes sobre os resultados de imagem em uma caixa de diálogo de abertura de arquivo para "unprotected.vbe" , se o usuário executa esse arquivo, em seguida, o malware VBScript vai começar a executar.

Abusando do Google para C & C Comunicação

O script enviará e receberá comandos de e para os serviços Google Apps Script, Google Sheets e Google Forms. Para cada usuário infectado, uma planilha única do Google Planilha é criada dinamicamente para gerenciar cada vítima. O uso de um serviço legítimo de terceiros como este dá ao atacante a capacidade de se esconder à vista. É improvável que esses serviços hospedados do Google sejam bloqueados por padrão em uma organização, portanto, é mais provável que o invasor estabeleça um canal de C & C com êxito.

O procedimento C & C é delineado no diagrama abaixo.

Como se proteger

Felizmente, é possível evitar esses ataques, escolhendo o software de segurança certo. Uma boa ferramenta protegerá seus usuários defendendo contra ações maliciosas em dois estágios do ataque; Em primeiro lugar, os usuários devem procurar por uma ferramenta que ofereça a varredura de arquivos baseada em heurística e o sandbox, isso evitará que os componentes de malware sejam baixados e / ou executados no estágio 'dropper file' (fase 5) de um ataque. Em segundo lugar, esses ataques podem ser interrompidos no estágio "chamada para casa" (fase 6), onde o tráfego C & C baseado em HTTP Carbanak pode ser bloqueado, os usuários devem garantir a sua ferramenta oferece análise de conteúdo em tempo real do tráfego da web para se defender contra ameaças maliciosas .