DEV-0569 集团改变策略,滥用谷歌广告来交付有效载荷
微软研究人员发现了一个新的威胁活动集群,他们将其跟踪为 DEV-0569。此外,自 8 月以来,该组织已切换到多种投放策略,最近的一种是滥用 Google Ads 来投放 BatLoader。
揭示了什么? 根据该报告,DEV-0569 的攻击在不断发展,因为该组织正在改进其规避策略、妥协后有效负载交付和勒索软件便利化。
从 8 月到 10 月,该组织通过恶意广告攻击瞄准了受害者,向他们发送了伪装成 Microsoft Teams、Zoom、Adobe Flash Player、AnyDesk 或 LogMeIn 等简单应用程序的下载器链接。
它使用恶意软件下载器 BatLoader 来投放下一阶段的有效载荷(通过 PowerShell 命令),包括 Royal 勒索软件和 Cobalt Strike Beacon 植入物。
此外,该组织一直在使用开源工具 Nsudo 来禁用目标机器上的防病毒解决方案。
交付方式的转变 DEV-0569 可能在今年年初使用ZLoader作为交付方式,然后在 4 月份 ZLoader中断后转移到 BatLoader 。
9 月,该组织伪装成国家金融机构, 开始使用公共网站上的联系表格来提供信息窃取器有效载荷。
当受害者通过电子邮件回复时,他们会收到一条消息,其中包含指向上述合法应用程序的所谓安装程序的链接,但交付的是托管在 GitHub 和 OneDrive 存储库上的 BatLoader。
除了安装程序文件外,该组织还利用虚拟硬盘 (VHD) 文件格式来冒充合法软件。
10 月下旬,观察到 DEV-0569 恶意广告活动利用 Google Ads,混合在正常的网络流量中以避免被发现。进一步观察到该组织使用合法的流量分配系统 (TDS) Keitaro 有选择地挑选受害者来交付有效载荷。
结束语,DEV-0569 滥用 Google Ads、GitHub 和 OneDrive 等真正的服务以及 Keitaro 等工具来保持隐身。为了免受此类攻击,建议组织定义严格的电子邮件策略并实施邮件流规则,以限制允许在组织内部流通的 IP 范围和域级别。
|
所有文章资讯、展示的文字、图片、数字、视频、音频、其它素材等内容均来自网络媒体,仅供学习参考。内容的知识产权归属原始著作权人所有。如有侵犯您的版权,请联系我们并提供相应证明,本平台将仔细验证并删除相关内容。 |
|
工具综合排行榜
TOP 1
|
双计算器同时用两个计算器,用于价格对比、数字分别计算等 |
TOP 2
TOP 3
|
随机密码生成随机生成安全复杂的密码,自由设置密码长度及复杂度 |
TOP 4
TOP 5
TOP 6
TOP 7
TOP 8
TOP 9
TOP 10
|
|