Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld bio udgivet i Zero Day den 12. januar 2022 | Emne: Sikkerhed
En nylig kampagne, der udnytter offentlig cloud-infrastruktur, implementerer ikke én, men tre kommercielle Remote Access Trojans (RAT'er).
Nanocore-, Netwire- og AsyncRAT-nyttelaster bliver implementeret fra offentlige cloud-systemer i hvad Cisco Talos foreslår, er en måde, hvorpå cyberangribere kan undgå at skulle eje eller administrere deres egen private, betalte infrastruktur – såsom gennem 'skudsikker' hosting, som i sidste ende kan fange retshåndhævelsens interesser.
Dette misbrug giver cyberkriminelle mulighed for at udnytte ressourcerne i cloud-tjenester, der administreres af leverandører, herunder Microsoft Azure og Amazon Web Services (AWS) til ondsindede formål.
“Disse typer cloud-tjenester som Azure og AWS giver angribere mulighed for at konfigurere deres infrastruktur og oprette forbindelse til internettet med minimal tid eller pengemæssige forpligtelser,” siger Talos. “Det gør det også sværere for forsvarere at spore angribernes operationer.”
Onsdag sagde Cisco Talos-forskerne Chetan Raghuprasad og Vanja Svajcer, at en ny kampagne baseret på offentlig cloud-infrastruktur blev opdaget i oktober 2021, og at størstedelen af ofrene er baseret i USA, Canada og Italien – dog ser en håndfuld ud til at være fra Spanien og Sydkorea.
Angrebskæden begynder på en typisk måde: gennem en phishing-e-mail, ofte forklædt som en faktura.
Disse meddelelser har .ZIP-filer vedhæftet, som, når de er åbnet, afslører et ISO-billede. ISO-filen er udstyret med en ondsindet loader til trojanske heste via enten JavaScript, en Windows-batchfil eller et Visual Basic-script.
Hvis et offer forsøger at indlæse diskbilledet, vil disse scripts udløses. Designet til at implementere Nanocore, Netwire og AsyncRAT, vil scripts nå ud til en downloadserver for at fange en nyttelast – og det er her, en offentlig cloud-tjeneste kommer i spil.
Downloader-scripts bruger dog sløringsteknikker til at skjule disse aktiviteter. JavaScript'et indeholder fire lag af sløring med hver ny, ondsindet proces, der genereres efter det forrige lag er pillet tilbage; batchfilen indeholder slørede kommandoer, der kører PowerShell for at hente dens nyttelast, og VBScript-filen bruger også PowerShell-kommandoer.
En PowerShell dropper bygget med HCrypt blev også fundet.
Angriberne bag kampagnen administrerer en række forskellige nyttelastværter, kommando-og-kontrol-servere (C2) og ondsindede underdomæner. Størstedelen, der er fundet indtil videre, er hostet på Azure og AWS.
“Nogle af downloadserverne kører Apache-webserverapplikationen,” siger forskerne. “HTTP-serverne er konfigureret til at tillade liste over åbne mapper, der indeholder varianter af NanocoreRATs, Netwire RAT og AsyncRATs malware.”
Derudover misbruger operatørerne DuckDNS, en legitim dynamisk DNS-tjeneste til at pege underdomæner på IP-adresser. Tjenesten bruges til at administrere malware-downloads via ondsindede DuckDNS-underdomæner og til at maskere navnene på C2-værterne, ifølge Talos.
Netwire, Nanocore og AsyncRAT er populære kommercielle trojanske stammer, der i vid udstrækning bruges af trusselsaktører til fjernadgang og kapring af sårbare maskiner, stjæle brugerdata og udføre overvågning ved hjælp af midler, herunder lyd- og kameraoptagelse.
“Forsvarere bør overvåge trafikken til deres organisation og implementere robuste regler omkring scriptudførelsespolitikkerne på deres endepunkter,” kommenterede forskerne. “Det er endnu vigtigere for organisationer at forbedre e-mail-sikkerheden for at opdage og afbøde ondsindede e-mail-beskeder og bryde infektionskæden så tidligt som muligt.”
Tidligere og relateret dækning
Indian Patchwork hackergruppe inficerer sig selv med fjernadgang Trojan
ObliqueRAT Trojan lurer nu i billeder på kompromitterede websteder
Ny Windows RAT kan styres via en Telegram-kanal
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre