APT guruhi DarkHydrus Google Drive orqali RogueRobin troyanini nazorat qiladi
RogueRobinning yangi versiyasi buyruqlarni qabul qilish uchun muqobil kanal sifatida Google Drive’dan foydalanadi.
APT guruhi DarkHydrus yangi zararli dasturiy ta’minot kampaniyasini boshladi. Hujumchilar RogueRobin troyanining yangilangan variantini qabul qilishdi va muqobil aloqa kanali sifatida Google Drive’dan foydalanmoqdalar. So’nggi kampaniyasi davomida guruh Yaqin Sharqdagi nishonlarga hujum qildi. Troyan qurbonlarning kompyuterlariga zararli VBA kodi (makro) bo’lgan Excel hujjati orqali yetkazildi. Hujum 2019-yil 9-yanvarda Xitoyning 360 tahdid razvedka markazi (360 TIC) mutaxassislari tomonidan aniqlandi. Mutaxassislar buni Kaspersky Lab Lazy Meerkat deb ataydigan DarkHydrus guruhiga bog’lashdi.
360 TIC zararli hujjatdagi makroslar .TXT faylini yuklab olib, keyin uni qonuniy regsvr32.exe dasturi yordamida ishga tushirishini aniqladi. Bir necha bosqichlardan so’ng, C# tilida yozilgan orqa eshik oxir-oqibat maqsadli tizimga yuklab olinadi.
Palo Alto Networks Unit 42 tadqiqotchilarining so’zlariga ko’ra, matnli faylda RogueRobin troyanining versiyasini yuklab oluvchi Windows Script Component (.SCT) fayli mavjud. Ushbu foydali dastur odatda PowerShell asosida ishlaydi, ammo kiberjinoyatchilar uni kompilyatsiya qilingan versiyaga o’tkazgan ko’rinadi.
DarkHydrus RogueRobin’ni troyanga ko‘rsatmalarni olish uchun muqobil aloqa kanali sifatida Google Drive’dan foydalanish imkonini beruvchi yangi funksiya bilan kompilyatsiya qildi. x_mode buyrug‘i sukut bo‘yicha o‘chirib qo‘yilgan, ammo uni DNS tunneli orqali yoqish mumkin — bu troyanning C&C serveri bilan asosiy aloqa kanali.
