Charlie Osborne Bidragsgivare
Charlie Osborne är en cybersäkerhetsjournalist och fotograf som skriver för ZDNet och CNET från London.
Fullständig bio publicerad i Zero Day den 12 januari 2022 | Ämne: Säkerhet
En nyligen genomförd kampanj som utnyttjar offentlig molninfrastruktur distribuerar inte en utan tre kommersiella Remote Access Trojans (RAT).
Nanocore, Netwire och AsyncRAT nyttolaster distribueras från offentliga molnsystem i vad Cisco Talos föreslår är ett sätt för cyberattackare att undvika att behöva äga eller hantera sin egen privata, betalda infrastruktur – till exempel genom “skottsäker” hosting som så småningom kan fånga brottsbekämpningens intressen.
Detta missbruk tillåter cyberbrottslingar att utnyttja resurserna för molntjänster som hanteras av leverantörer inklusive Microsoft Azure och Amazon Web Services (AWS) för skadliga syften.
“Dessa typer av molntjänster som Azure och AWS tillåter angripare att konfigurera sin infrastruktur och ansluta till internet med minimal tid eller pengar”, säger Talos. “Det gör det också svårare för försvarare att spåra angriparnas operationer.”
På onsdagen sa Cisco Talos-forskarna Chetan Raghuprasad och Vanja Svajcer att en ny kampanj baserad på offentlig molninfrastruktur upptäcktes i oktober 2021 och att majoriteten av offren är baserade i USA, Kanada och Italien – men en handfull verkar vara från Spanien och Sydkorea.
Attackkedjan börjar på ett typiskt sätt: genom ett nätfiske-e-postmeddelande, ofta förklädd till en faktura.
Dessa meddelanden har bifogade .ZIP-filer som, när de väl har öppnats, visar en ISO-bild. ISO-filen är utrustad med en skadlig loader för trojanerna genom antingen JavaScript, en Windows-batchfil eller ett Visual Basic-skript.
Om ett offer försöker ladda skivavbildningen kommer dessa skript att utlösas. Utformade för att distribuera Nanocore, Netwire och AsyncRAT, kommer skripten att nå ut till en nedladdningsserver för att få tag i en nyttolast – och det är här en offentlig molntjänst kommer in i bilden.
Men nedladdningsskripten använder obfuskeringstekniker för att dölja dessa aktiviteter. JavaScriptet innehåller fyra lager av förvirring med varje ny, skadlig process som genereras efter att det föregående lagret dras tillbaka; batchfilen innehåller obfuskerade kommandon som kör PowerShell för att hämta nyttolasten, och VBScript-filen använder också PowerShell-kommandon.
En PowerShell dropper byggd med HCrypt upptäcktes också.
Angriparna bakom kampanjen hanterar en mängd olika nyttolastvärdar, kommando-och-kontroll-servrar (C2) och skadliga underdomäner. Majoriteten som hittills upptäckts finns på Azure och AWS.
“Några av nedladdningsservrarna kör Apaches webbserverapplikation”, säger forskarna. “HTTP-servrarna är konfigurerade för att tillåta listning av öppna kataloger som innehåller varianter av NanocoreRATs, Netwire RAT och AsyncRATs malware.”
Dessutom missbrukar operatörerna DuckDNS, en legitim dynamisk DNS-tjänst för att peka underdomäner på IP-adresser. Tjänsten används för att hantera nedladdningar av skadlig programvara via skadliga DuckDNS-underdomäner och för att maskera namnen på C2-värdarna, enligt Talos.
Netwire, Nanocore och AsyncRAT är populära kommersiella trojanska stammar som ofta används av hotaktörer för att på distans komma åt och kapa sårbara maskiner, stjäla användardata och utföra övervakning med hjälp av bland annat ljud- och kamerainspelning.
“Försvarare bör övervaka trafiken till sin organisation och implementera robusta regler kring skriptexekveringspolicyer på sina slutpunkter”, kommenterade forskarna. “Det är ännu viktigare för organisationer att förbättra e-postsäkerheten för att upptäcka och mildra skadliga e-postmeddelanden och bryta infektionskedjan så tidigt som möjligt.”
Tidigare och relaterad täckning
Indian Patchwork-hackinggrupp infekterar sig själv med fjärråtkomst Trojan
ObliqueRAT Trojan lurar nu i bilder på utsatta webbplatser
Ny Windows RAT kan styras via en Telegram-kanal
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter