APT-группировка DarkHydrus управляет трояном RogueRobin через Google Диск
21/01/19
APT-группировка DarkHydrus запустила новую вредоносную кампанию. Злоумышленники взяли на вооружение обновленный вариант трояна RogueRobin и в качестве альтернативного канала связи с ним используют Google Диск.
В ходе последней кампании группировка атаковала цели на Среднем Востоке. Троян попадал на компьютеры жертв через документ Excel с вредоносным кодом VBA (макросом). Атака была зафиксирована 9 января 2019 года специалистами китайского 360 Threat Intelligence Center (360 TIC). Эксперты отнесли ее на счет группировки DarkHydrus, которую «Лаборатория Касперского» называет Lazy Meerkat.
В 360 TIC обнаружили, что макросы во вредоносном документе загружают файл .TXT, а затем запускают его с помощью легитимной программы regsvr32.exe. Через несколько этапов на атакуемую систему в итоге загружается написанный на C# бэкдор.
По словам специалистов из Palo Alto Networks Unit 42, в текстовом файле скрывается файл Windows Script Component (.SCT), загружающий версию трояна RogueRobin. Как правило, эта полезная нагрузка базируется на PowerShell, но, похоже, киберпреступники портировали ее в компилированный вариант.
DarkHydrus компилировали RogueRobin с добавлением новой функции, позволяющей трояну использовать Google Диск в качестве альтернативного канала связи для получения инструкций. Команда x_mode отключена по умолчанию, однако ее можно включить через канал туннелирования DNS – основной канал связи трояна с C&C-сервером.