【资安日报】1月2日,窃资软体滥用Google未公开的OAuth同步机制挟持用户帐号

去年11月,,骇客渗透的管道是晶片韧体未使用的暂存器。

 

【攻击与威胁】

资安业者CloudSEK指出,他们在去年10月看到名为Prisma的骇客组织,在Telegram频道宣称掌握一项零时差漏洞,能长时间存取受害者的Google帐号,就算使用者变更密码也无济于事,他们还是能借由cookie,重新建立连线阶段(session),持续掌控受害者的帐号,他们寻求与其他恶意软体开发者进行合作。随后在11、12月,就有数款窃资软体陆续导入相关功能,最早的是Lumma、Rhadamanthys,后续则是Stealc、Meduza、Risepro、WhiteSnake,它们也标榜具备这类挟持Google帐号的机制。其中开发Eternity Stealer的骇客组织,也著手打造具有这类功能的新版程式。

研究人员透过逆向工程,发现这些窃资软体会锁定Chrome名为token_service的表单,取得特定的Token和GAIA ID资料,接著滥用Google未曾在技术文件提及的MultiLogin端点跨服务同步机制而能透过OAuth机制,挟持受害者的Google帐号。

针对这些骇客使用的恶意软体,Storm-0569会使用PowerShell指令码,下载并执行Batloader、IcedID、Cobalt Strike等作案工具,再交由Storm-0846、Storm-0506部署勒索软体;Storm-1113则是对受害电脑植入木马程式Gozi、IcedID、NetSupport RAT,窃资软体Redline、Lumma Stealer,以及僵尸网路软体Smoke Loader;FIN7利用Storm-1113制作的恶意程式载入工具,部署后门程式Carbanak、恶意程式Gracewire或NetSupport RAT。

值得一提的是,Storm-1674与上述骇客组织的手法有所不同,他们利用Teams讯息传送冒牌OneDrive、SharePoint登入网页,最终散布SectopRAT或DarkGate。

CERT-UA指出,在攻击行动里骇客还利用了OpenSSH、PowerShell指令码Steelhook、后门程式Oceanmap,于受害电脑建立隧道通讯、窃取Chrome及Edge浏览器资料,并透过IMAP协定对受害电脑下达攻击命令。

2. 

 

近期资安日报