Discord仍然是黑客和APT组织恶意活动的温床,它通常用于分发恶意软件,泄露数据,并被威胁行为者作为窃取身份验证令牌的目标。
Trellix的一份新报告解释说,该平台现在也被APT(高级持续威胁)黑客所采用,他们滥用Discord来攻击关键基础设施。
尽管,
近年来,这一问题的规模日益扩大
在美国,Discord一直无法采取有效措施来阻止网络罪犯,果断地解决问题,或者至少限制它。
恶意软件使用的不和谐
威胁行为者以三种方式滥用Discord:利用其内容分发网络(CDN)
分发恶意软件
,
修改Discord客户端窃取密码
,以及;
滥用Discord网络钩子
从受害者的系统中窃取数据。
Discord的CDN通常用于在受害者的机器上传递恶意载荷,帮助恶意软件运营商逃避反病毒检测,并阻止从可信的“cdn.discordapp.com”域名发送的文件。
Trellix的数据显示,至少有10,000个恶意软件样本使用Discord CDN在系统上加载第二阶段的有效载荷,主要是恶意软件加载程序和通用加载程序脚本。
通过Discord的CDN获取的第二级有效载荷主要是RedLine stealer, Vidar, AgentTesla, zgRAT和Raccoon stealer。
关于滥用Discord网络钩子从受害者的设备中窃取数据,Trellix表示,自2021年8月以来,以下17个家庭已经采用了这种做法:
- MercurialGrabber
- AgentTesla
- UmbralStealer
- Stealerium
- Sorano
- zgRAT
- SectopRAT
- NjRAT
- Caliber44Stealer
- InvictaStealer
- StormKitty
- TyphonStealer
- DarkComet
- VenomRAT
- GodStealer
- NanocoreRAT
- GrowtopiaStealer
这些恶意软件家族将从受感染的系统收集凭证、浏览器cookie、加密货币钱包和其他数据,然后使用webhooks将它们上传到Discord服务器。
控制这个Discord服务器的威胁行为者可以收集被盗的数据包用于其他攻击。
2023年最大的罪犯是Agent Tesla、UmbralStealer、Stealerium和zgRAT,它们都在最近几个月开展了活动。
与滥用Discord CDN的原因类似,该平台的网络钩子为网络罪犯提供了一种隐秘的方式来窃取数据,使流量对网络监控工具无害。
此外,webhooks很容易设置和使用,只需最少的编码知识,实现实时泄漏,成本效益高,并且具有Discord的基础设施可用性和冗余的额外好处。
apt加入了滥用
Trellix现在表示,复杂的威胁组织开始使用Discord,尤其是那些重视滥用标准工具的组织,这些工具允许他们将自己的活动与无数其他人的活动混合在一起,使跟踪和归因几乎不可能。
Trellix表示,有限的服务器控制和账户关闭风险导致的数据丢失等威慑措施已不足以防止apt滥用Discord的功能。
研究人员强调了一个案例,一个未知的APT组织使用鱼叉式网络钓鱼诱饵攻击了乌克兰的关键基础设施。
恶意电子邮件携带一个OneNote附件,假装来自乌克兰的非营利组织,其中包含一个嵌入式按钮,当点击时触发VBS代码执行。
该代码解密了一系列脚本,这些脚本与GitHub存储库建立通信,以下载最后阶段的有效载荷,该有效载荷利用Discord webhook来泄露受害者数据。
“利用Discord功能的APT恶意软件活动的潜在出现,给威胁环境带来了新的复杂性。”
Trellix的报告中写道
.
“apt以其复杂和有针对性的攻击而闻名,通过渗透Discord等广泛使用的通信平台,他们可以有效地在网络中建立长期立足点,将关键基础设施和敏感数据置于危险之中。”
即使APT对Discord的滥用仍然局限于攻击的初始侦察阶段,事态发展仍然令人担忧。
不幸的是,该平台的规模、加密数据交换、网络威胁的动态性,以及被滥用的功能为大多数用户提供合法目的的事实,使Discord几乎无法区分好坏。
另外,禁止涉嫌恶意行为的账户并不能阻止恶意行为者创建新账户并恢复其活动,因此问题可能会进一步恶化。
如若转载,请注明出处:https://www.ozabc.com/anquan/537091.html