Специалисты 360 Threat Intelligence Center и Palo Alto Networks обнаружили новую вредоносную кампанию хакерской группы DarkHydrus (она же Lazy Meerkat). На этот раз хакеры атакуют цели преимущественно на Ближнем Востоке и распространяют обновленную вариацию трояна RogueRobin.
По данным исследователей, новая кампания стартовала 9 января 2019 года. Злоумышленники используют документы Microsoft Excel, содержащие вредоносный код VBA (маркросы). Хотя работа макросов в Microsoft Office давно отключена по умолчанию, атакующие используют хитрость и социальную инженерию, вынуждая своих жертв разрешить их работу вручную.
Если макрос срабатывает, это приводит к загрузке файла .txt, а затем легитимный regsvr32.exe используется для его запуска. В конечном итоге в систему проникает троян RogueRobin, написанный на C#.
Эксперты отмечают, что вредонос применяет технику DNS-tunneling, что позволяет ему получать информацию и команды, используя пакеты DNS-запросов. Кроме того, в качестве альтернативного канала коммуникаций RogueRobin может использовать API Google Drive (хотя это опция, названная x_mode, отключена по умолчанию). В этом случае вредонос загружает специальный файл в Google Drive и постоянно проверяет время внесения последних изменений, чтобы обнаружить, когда операторы внесут в файл коррективы, которые малварь будет воспринимать как команды.
Исследователи сходятся во мнении, что в своих кампаниях DarkHydrus нарочно стремятся использовать не 0day-уязвимости, но умышленно предпочитают им те же VBA макросы, задействуют легитимные сервисы и социальную инженерию. Напомню, что ранее группировку уже уличали в использовании опенсорсных и легитимных инструментов для организации фишинговых атак.
