黑客使用云服务分发Nanocore、Netwire和AsyncRAT恶意软件
黑客使用云服务分发Nanocore、Netwire和AsyncRAT恶意软件
威胁参与者正在积极地将来自亚马逊和微软的公共云服务整合到他们的恶意活动中,以提供诸如Nanocore、Netwire和AsyncRAT之类的商品远程访问木马(RAT)来从受感染的系统中窃取敏感信息。
鱼叉式网络钓鱼攻击
Cisco Talos的研究人员在与The Hacker News分享的一份声明中表示,始于2021年10月的鱼叉式网络钓鱼攻击主要针对位于美国、加拿大、意大利和新加坡。
利用现有的合法基础设施来促进入侵越来越成为攻击者策略的一部分,因为它消除了托管自己的服务器的需要,更不用说被用作逃避安全解决方案检测的伪装机制。
近几个月来,协作和通信工具Discord、Slack和Telegram在许多感染链中找到了一个位置,可以从受害者的机器中侵占和泄露数据。从这个角度来看,滥用云平台是一种战术扩展,攻击者可以利用它作为进入大规模网络的第一步。
网络钓鱼电子邮件
Cisco Talos外联主管尼克·比亚西尼(Nick Biasini)通过电子邮件告诉《黑客新闻》(The Hacker News),“这个特定的活动有几个有趣的方面,它指出了一些恶意行为者经常使用和滥用的东西。”
从使用云基础设施托管恶意软件到滥用动态软件DNS指挥控制(C2)活动。此外,层层混淆指向犯罪网络活动的现状,需要大量分析才能获得攻击的最终有效负载和意图。
和很多此类的活动一样,这一切都是从一封以发票为主题的网络钓鱼电子邮件开始的,里面有一封电子邮件ZIP文件附件,打开后触发攻击序列Azure Cloud的Windows服务器或AWS EC2实例托管下一阶段的有效负载,最终导致不同部署RAT,包括AsyncRAT、Nanocore和Netwire。
安装后,特洛伊木马不仅可用于未经授权访问机密数据,还可以被攻击者利用对受感染系统的访问获利,以便勒索软件附属机构和其他网络犯罪集团进行进一步的后续攻击。
还值得注意的是,使用免费的动态域名系统服务,会创建恶意子域来传递恶意软件,一些由参与者控制的恶意子域解析为下载Azure Cloud上的服务器,而另一些则作为RAT有效负载的目标C2运行。
“恶意行为者是机会主义者,他们一直在寻找新的、创造性的方法来托管恶意软件并感染受害者,”Biasini说。“Slack和Discord等平台的滥用以及相关的云滥用是这种模式的一部分。我们还经常发现被破坏的网站被用来托管恶意软件和其他基础设施,并再次指出这些对手会使用任何和所有手段来破坏受害者。”
内容参考The Hacker News