Netskope威胁研究实验室在42个客户实例中发现了几个针对性的主题攻击，主要针对银行和金融行业。参与这些攻击的威胁行为者利用App Engine谷歌云计算平台（GCP）通过PDF诱饵传播恶意软件。经过进一步研究，我们确认了针对全球政府和金融公司的这些攻击的证据。几个诱饵可能与名为“Cobalt Strike”的臭名昭著的威胁攻击组织有关。

攻击是通过滥用PDF诱饵中的GCP URL重定向来执行的，重定向到托管恶意负载的恶意URL。此针对性攻击比传统攻击更具说服力，因为托管恶意软件的URL将主机URL指向Google App Engine，从而使受害者相信该文件是从Google等受信任的来源传递的。

在本文中，我们发现和分析了Google App Engine URL重定向滥用、负责的威胁行为者以及滥用此功能的恶意软件。我们总结了一些有助于保护和修复此类威胁的建议。

一、Netskope检测

Netskope Advanced Threat Protection检测到目标诱饵，并识别为PDF_Phish.Gen。

二、披露

Netskope于2019年1月10日向谷歌报告了这种滥用行为。公开的重定向符存在于设计之中。

三、发现

今年早些时候，Netskope的遥测技术在银行和金融部门42位客户中发现了常见的感染。所有这些都带有.eml扩展名且具有相同检测名，在我们的检测系统中触发警报。经过调查，我们确认感染是在eml文件的附件中触发的。

利用我们的Netskope Discovery和Netskope Active Introspection Alerts，我们发现这些攻击滥用谷歌云平台（GCP）上的Google App Engine作为诱饵传播恶意软件。

四、PDF诱饵——传播

传统上PDF诱饵经常作为电子邮件附件发送给受害者。这些电子邮件包含合法内容并从白名单传播恶意软件。通常，此类附件会保存到云端存储服务，例如Google云端硬盘。与其他用户共享这些文档可能会导致出现像CloudPhishing Fan-out Effect这样的辅助传播向量。在此情形下，Advanced Threat Protection检测到包含诱饵文档的电子邮件文件，并防止了潜在的扇出。

五、GCP App Engine URL重定向——诱饵

这种有针对性的攻击比传统的攻击更具说服力，因为诱饵欺骗受害者使用GoogleApp Engine URL，该URL被滥用以将受害者重定向到恶意软件。由于有效载荷来自可靠来源，因此成为此类攻击受害者的几率更高。

我们观察到使用GCP App Engine URL重定向的主题PDF诱饵如图1所示。

图1：使用GCP App Engine URL重定向的PDF诱饵

我们观察到的大部分PDF都是使用Adobe Acrobat 18.0创建的。它们使用Flat Decode（Filter / FlateDecode）在PDF流中以压缩形式包含恶意URL。同样，所有诱饵都使用HTTPS URL来传递有效载荷。

六、GCP App Engine URL 重定向——简介

根据开放式Web应用程序安全项目（OWASP），Google App Engine的URL重定向案例属于未经验证的重定向和转发。

我们从PDF诱饵中观察到的使用这种技术的一些URL如下所示：

· https://appengine.google[.]com/_ah/logout?continue=https%3A%2F%2Ftransef[.]biz%2FDoc102018.doc

· https://appengine.google[.]com/_ah/logout?continue=https%3A%2F%2Fswptransaction-scan2034.s3.ca-central-1.amazonaws[.]com%2FDoc102018.doc

为了更好地理解和说明，我们以下面的URL为例：

· https://appengine.google[.]com/_ah/logout?continue=https%3A%2F%2Ftransef[.]biz%2FDoc102018.doc

此活动捕获的数据包如图2所示。

图2：GCP App Engine URL重定向数据包

图2说明了访问URL后，用户将从appengine.google.com注销，并为URL重定向生成响应状态代码“302”。执行此操作后，使用查询“？continue =”将用户重定向到google.com/url。使用此重定向逻辑，到达目标登录页面，在此情形之下，下载Doc102018.doc到受害者的计算机。

在查询中使用相同的逻辑，我们使用GCP App Engine URL的相同方法，如下所示：

· https://accounts.google.com/Logout?continue=https://appengine.google.com/_ah/logout?continue=https%3A%2F%2Ftransef[.]biz%2FDoc102018.doc

· https://google.com/accounts/Logout?continue=https://appengine.google.com/_ah/logout?continue=https%3A%2F%2Ftransef[.]biz%2FDoc102018.doc

在所有这些情况中，GCP App Engine应用程序成功验证了重定向并将有效载荷传递给受害者计算机。

由于附加的URL是未经验证的重定向，因此威胁行为者通过将受害者重定向到托管恶意有效载荷的附加URL来滥用此功能。

七、PDF 诱饵——默认的允许策略

通常，PDF文档在文档连接到网站时会向用户提示安全警告。一旦“记住此网站的该操作”检查域名通过后，此功能对该域名的所有URL没有任何提示。

此操作的活动如图3所示。

图3：PDF诱饵滥用GCP App Engine URL重定向

通过利用流行PDF阅读器中的“默认允许”操作，攻击者可以轻松部署多次攻击，无需考虑在第一次警报后获得安全警告。出于合法原因，管理员还可能将appengine.google.com列入白名单。它还仅警告用户正在尝试连接到appengine.google.com（看起来很有用）。

八、恶意软件使用GCP URL重定向

此攻击中涉及的所有PDF都将带有混淆宏代码的Microsoft Word文档或PDF文档作为第二阶段有效载荷下载。

在我们的客户实例中检测到的PDF诱饵下载了“Doc102018.doc”的word文档，其中包含混淆宏代码。该文档是从URL https://transef[.]biz下载的。

执行时，会向受害者显示一条消息（启用编辑和内容模式以查看文档），如图4所示。

图4：启用编辑和内容模式以查看文档的消息

启用该选项后，宏将被执行并从transef[.]biz/fr.txt下载另一个阶段的有效载荷。威胁行为者经常使用多阶段有效载荷来确保更平稳的过渡并使攻击更难以检测、调查和缓解

fr.txt作为INF文件，使用Microsoft Connection Manager Profile Installer（csmtp.exe）执行％Appdata％\ Roaming \ Microsoft \ 26117.txt，如图5所示。

图5:  csmtp.exe执行%Appdata%\Roaming\Microsoft\26117.txt

此技术类似于我们之前在ShortJSRAT研究中详细描述的“Squiblydoo”技术。 Squiblydoo是一种使用本机Windows应用程序加载恶意scriptlet的技术。这绕过了应用程序白名单解决方案，如Windows Applocker（它只允许批准的应用程序加载和执行）。

在分析时，下一阶段的有效载荷“fr.txt”已关闭，并且没有提供任何有效载荷。虽然有效载荷失效，但利用我们的Netskope威胁情报将这些攻击归因于一个名为“Cobalt Strike”的臭名昭著的威胁演员组，详见Cisco Talos的一篇研究文章。

“Cobalt Strike group”以金融和银行公司为目标使用多种策略、技术和程序（TTP）使用恶意软件，如Carbanak恶意软件。众所周知，该组织在其武器库中大量使用Cobalt Strike软件。Cobalt Strike软件是一个白帽工具，用于执行安全评估，重现网络中高级攻击者的策略和技术。

尽管该组织的主谋于2018年3月26日被欧洲刑警组织逮捕，但仍有一些该组织的攻击目标。根据发送给潜在目标的电子邮件的时间表，我们预计该组将积极开展攻击。

九、PDF诱饵——邮件和潜在目标

根据我们的威胁情报研究，20多个其他银行、政府和金融机构通过网络钓鱼电子邮件遭受同样的攻击，攻击者伪装成这些机构的合法客户。目标机构没有可辨别的地理模式—全球范围内。一些目标包括：

· Metrobank菲律宾

· PrimeCommercial Bank Ltd，尼泊尔

· BancNetOnline

· Banquedu Caire，或“开罗银行”

· Itaú国际投资

· 印度外交部

· YapıKredi

· 亚历山大港银行

· OmniPay，亚洲

· Bancosol

· Travelex外汇业务

· 南非标准银行

· MCB：毛里求斯商业银行

· Extraco银行

· BankAlbilad

· Accuity

· SKBBank，俄罗斯

· RGS银行，俄罗斯

威胁行为者的一些最常用的电子邮件域名和地址如下：

pace.edu

· [email protected]

ulaval.ca

· [email protected]

· [email protected]

· [email protected]

metacase.eu

· [email protected] 

ivywise.com

· [email protected]

ebf.eu.com

· [email protected]

· [email protected]

· [email protected]

虽然电子邮件是从威胁行为者发送到目标的，但这些地址可能是伪造的发件人。

从电子邮件地址[email protected]发送到6个潜在目标列表的电子邮件示例，如图6所示。

图6：从[email protected]发送到潜在目标的电子邮件

十、总结

我们的研究最初始于发现GCP URL滥用，引发银行和金融部门42位客户的感染。我们的内部系统和Netskope威胁情报框架，无缝的帮助我们将攻击锁到臭名昭着的“Cobalt Strike”威胁小组。

URL重定向机制/功能被威胁行为者大量使用并滥用，欺骗受害者相信恶意文件是从可信来源传递的。使用带有诱人电子邮件的主题的PDF诱饵是一个完美的选择，因为有效载荷源自可信赖的来源，而流行的PDF查看器使用户能够轻松的将域名列入白名单。

在连接到URL之前，用户可以通过将鼠标悬停在所有超链接上来识别URL重定向滥用。企业应该教育用户识别AWS，Azure和GCP URL，以便他们能够从官方站点识别恶意站点。

Netskope Advanced Threat Protection凭借其独特的云优势及多层威胁检测和修复功能，为客户提供了一个云平台，可确认并响应此类攻击，防止它们在云环境中传播。

Netskope威胁研究实验室将继续监测'Cobalt Strike'威胁小组的发展。

建议

Netskope建议采取以下措施来打击基于云的网络钓鱼活动：

· 始终检查链接的域名。了解登录敏感服务时通常使用的域名。此外，还能够识别公共对象存储域名。这将帮助区分精心设计的网络钓鱼/恶意软件站点和官方站点。

· 部署实时可见性和控制解决方案，以监控受制裁和未经批准的云帐户的活动。

· 通过实时，多层次的威胁检测和修复，为IaaS，SaaS，PaaS和Web获取全面的威胁和恶意软件检测，以防止机构在不知不觉中传播类似的威胁。

· 积极跟踪未经批准的云应用程序的使用情况，并实施DLP策略以控制进出企业环境的文件和数据。

· 警告用户不要打开不受信任的附件，无论其扩展名或文件名如何。

· 警告用户避免执行任何文件，除非他们非常确定它们是良性的。

· 在PDF阅读器软件中取消选中“为所有PDF文档记住此站点的此操作”选项，即使该站点看起来是合法的，例如appengine.google.com。

· 将鼠标悬停在所有超链接上以确认，然后再单击链接。

· 积极跟踪添加到PDF阅读器软件中“始终允许”列表的URL链接。

· 使用最新版本和补丁更新系统和防病毒软件。