New malware found using Google Drive as its command-and-control server

ทีมนักวิจัยด้านความปลอดภัยจาก 360 Threat Intelligence และ Palo Alto Networks ได้มีการเปิดเผยที่แคมเปญการโจมตีใหม่ซึ่งพุ่งเป้าไปที่กลุ่มประเทศในตะวันออกกลางโดยมีชื่อของกลุ่มผู้โจมตีคือ DarkHydrus APT กลุ่มผู้โจมตีนี้ใช้วิธีการแพร่กระจายโทรจันชื่อ RougeRobin ด้วยการโจมตีในรูปแบบฟิชชิ่งโดยมัลแวร์สายพันธุ์สามารถใช้ติดต่อกับเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุมด้วยโปรโตคอล DNS รวมไปถึงมีการใช้บริการ Google Drive เป็นเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุมด้วย

มัลแวร์ RougeRobin จะถูกดาวน์โหลดและติดตั้งผ่านทางมาโครสคริปต์อันตรายที่ฝังอยู่ในไฟล์เอกสาร โดยตัวมัลแวร์เองนั้นถูกพัฒนาด้วยภาษา C# และใช้เทคนิคในการเรียกโปรแกรม regsvr32.exe เพื่อเริ่มการทำงานของมัลแวร์ มัลแวร์ยังมีความสามารถสูงในการหลีกเลี่ยงการวิเคราะห์ทั้งจากระบบ sandbox และระบบจำลองต่างๆ ด้วย

สำหรับฟังก์ชันในการใช้บริการ Google Drive เป็นเซิร์ฟเวอร์ออกคำสั่งและควบคุมนั้น มัลแวร์จะกระทำโดยการอัปโหลดไฟล์ไปยังบัญชี Google Drive และคอยมอนิเตอร์การเปลี่ยนแปลงของไฟล์นี้ หากผู้โจมตีมีการแก้ไขไฟล์ดังกล่าวด้วยคีย์เวิร์ดพิเศษที่ถูกตั้งค่าเอาไว้แล้ว มัลแวร์จะมีการปฏิบัติตามคำสั่งนั้นโดยทันที

ขอแนะนำให้ผู้ใช้งานเพิ่มความระมัดระวังเมื่อต้องเปิดไฟล์แนบทางอีเมลซึ่งถูกส่งมาจากบุคคลที่ไม่รู้จัก และไม่ควรยินยอมให้มีการรันมาโครสคริปต์ในไฟล์เอกสารโดยไม่มีความจำเป็นโดยเด็ดขาด

ที่มา : thehackernews