據(jù)報(bào)道，網(wǎng)絡(luò)犯罪分子通過(guò)濫用谷歌合法云存儲(chǔ)服務(wù)托管惡意程序的實(shí)體，并通過(guò)繞過(guò)安全控制破壞企業(yè)網(wǎng)絡(luò)。

該攻擊是攻擊者針對(duì)谷歌云存儲(chǔ)服務(wù)域storage.googleapis.com發(fā)起的，而全球多家公司使用的都是該服務(wù)域。

自八月起，該活動(dòng)主要針對(duì)銀行的員工及位于美國(guó)及英國(guó)的金融服務(wù)公司。

該攻擊起初是通過(guò)大規(guī)模電郵方式分發(fā)的，電郵中包含指向由谷歌云服務(wù)托管的惡意網(wǎng)站的釣魚鏈接。

研究人員經(jīng)分析發(fā)現(xiàn)，有4,600個(gè)網(wǎng)絡(luò)釣魚網(wǎng)站使用了合法托管服務(wù)，也可稱為“名譽(yù)聯(lián)網(wǎng)”，該方法可借知名的流行托管服務(wù)來(lái)躲避檢測(cè)。

鑒于電郵安全系統(tǒng)可檢測(cè)惡意附件，攻擊者并未使用惡意附件，相反，他們使用電子郵件中的惡意鏈接以繞過(guò)電郵安全系統(tǒng)。

僅有已存在于威脅存儲(chǔ)庫(kù)的惡意URL才可能被識(shí)別出來(lái)，而鑒于攻擊者會(huì)不斷改變托管域的負(fù)載，這種情況并不常見。

谷歌云存儲(chǔ)的感染過(guò)程

首先，攻擊者從被入侵的電郵賬戶發(fā)送包含嵌入式URL的電郵啟動(dòng)整個(gè)惡意行動(dòng)。

偽裝為谷歌云存儲(chǔ)服務(wù)合法URL的惡意URL可被用來(lái)傳輸兩類程序的實(shí)體以感染終端節(jié)點(diǎn)：VBS腳本和JAR文件。

攻擊者并未使用大多數(shù)網(wǎng)絡(luò)犯罪分子使用的經(jīng)過(guò)混淆（偽裝）的惡意VBS腳本。

據(jù)Menlo Security稱，這些VBS腳本是由同一工具包創(chuàng)建的，因?yàn)檫@三個(gè)腳本似乎都屬于Houdini惡意軟件系列；而經(jīng)鑒定，我們發(fā)現(xiàn)其中一個(gè)JAR文件（Swift invoice.jar）屬于Houdini/jRAT惡意軟件系列。

研究人員表示，正在對(duì)其他JAR文件展開調(diào)查，且認(rèn)為這些文件應(yīng)屬于Qrat惡意軟件系列。