- A+
Cobalt Strike恶意黑客组织正在滥用Google App Engine来分发嵌入在PDF文档中的恶意软件
国际网络安全研究所的网络安全和道德黑客专家报告称,出现了一系列恶意软件攻击,其中黑客利用谷歌应用引擎 (一种云计算平台)利用特制的PDF文件部署恶意软件。
该研究的主要目标是政府和金融机构,尤其是研究中提到的具有全球影响力的银行。 根据目前收集的证据,研究人员认为Cobalt Strike黑客组织是这些攻击的幕后推手。
在2019年初,多个组织开始接收带有.eml扩展名附件的类似电子邮件。 通过调查这一趋势, 网络安全专家能够确认这些附件正在激活企业检测系统。
“在这些组织中检测到的PDF文件下载了一个包含令人困惑的宏代码的Word文档(Doc102018.doc)。 在执行期间,受害者找到一条消息以启用文档编辑模式“。
当文件链接到网站时,PDF阅读器会定期显示安全警告。 但是,一旦针对此站点调用此操作,则允许链接此域中的任何URL,而不显示任何通知。
“这种攻击更加有效,因为它显示了一个Google App Engine URL,可以将受害者重定向到恶意网站。 由于有效载荷似乎来自可靠的来源,因此用户更有可能陷入陷阱“。
专家建议用户不要下载来自未知来源的附件,特别是如果他们使用的是可疑来源的电子邮件。 还建议保持所有系统的更新并实施最适合用户的反恶意软件解决方案。
这不是恶意黑客第一次利用Google服务分发有害软件。 最近在互联网上发现了DarkHydrus工具,用于通过Google Drive分发恶意软件RogueRobin。
此外,网络安全专家的多份报告提到使用Google协作平台和Adwords平台使用欺骗版Chrome浏览器分发恶意软件。 还有证据证实,恶意黑客能够使用Google搜索结果通过搜索引擎优化(SEO)中毒和恶意广告活动分发恶意软件变种。
