骇客滥用Google云端服务掩盖攻击行动的手法不时传出,其中最常见的是Google Drive,攻击者可能借此提供恶意程式C2伺服器的IP位址,但后续也有利用云端文书处理服务Google Docs的情况,而最近一起攻击行动里,有人竟滥用同厂牌的试算表服务Google Sheets,而且,攻击者不仅利用该服务下达命令,还要求恶意程式回传执行的结果。
这些信件的内容,都包含经过行动版网页框架Google AMP处理的URL,一旦使用者点选,就会被重新导向到架设在免费网页伺服器代管服务InfinityFree的网页,这些网页含有点选以检视文件的连结,若是照作,网页就会检查使用者字串(User Agent),确认使用者透过Windows电脑存取。
接著攻击者将使用者导向Windows搜寻的URI,而这个URI会连往TryCloudflare隧道,要求使用者透过Windows档案总管开启;若非Windows用户,骇客则将他们导向特定Google Drive网址,以便收集这些使用者的浏览器及网路组态资讯。
一旦使用者依照对话框的指示操作,Windows档案总管就会如骇客预期进行搜寻,使得用户在档案总管看到捷径档案(LNK),或是ZIP压缩档。值得留意的是,虽然LNK或ZIP档案实际上存放在外部网路伺服器,但看起来很像在内部网路WebDAV共享资料夹,而让使用者很容易上当。研究人员指出,攻击者利用了Windows搜寻档案格式SEARCH-MS,将搜寻内容设置为WebDAV共用资料夹。
使用者若是开启档案总管显示的档案,电脑就会呼叫PowerShell,从相同隧道的另一个WebDAV资料夹存取Python主程式,并利用特定的指令码传递参数。
然后,骇客从档案共享服务OpenDrive下载、开启特定语言的诱饵PDF档案,让使用者降低戒心。在此同时,指令码也下载思科WebEx执行档及恶意DLL,透过DLL侧载手法执行后门程式Voldemort。
此后门程式骇客以C语言打造而成,并利用Google Sheets充当C2伺服器,攻击者利用Python程式码,向后门程式下达相关命令,最终于受害电脑植入Cobalt Strike。研究人员指出,这起攻击行动并不寻常,因此他们难以判断骇客实际的目标是仅有少部分企业,但也不排除前述超过70家企业都是目标。