黑客利用云服务分发Nanocore、Netwire和AsyncRAT恶意软件
相关标签: # 研究# 数据# 入侵# 软件
威胁参与者正在积极将亚马逊和微软的公共云服务纳入他们的恶意活动中,以提供商品远程访问特洛伊木马(RAT),如Nanocore、Netwire和AsyncRAT,从受损系统中窃取敏感信息
2021年10月开始的鱼叉式网络钓鱼攻击主要是位于美国、加拿大、意大利和新加坡的目标实体,思科公司的研究人员在与黑客新闻共享的一份报告中说。
利用现有合法基础设施促进入侵正日益成为攻击者策略的一部分,因为它不再需要托管自己的服务器,更不用说作为一种隐藏机制来逃避安全解决方案的检测
最近几个月,Discord、Slack和Telegram等协作和通信工具在许多感染链中找到了一个位置,可以从受害者机器中获取和过滤数据。从这个角度来看,滥用云平台是一种战术扩展,攻击者可以利用它作为进入大量网络的第一步
“这场特别的运动有几个有趣的方面,它指出了我们经常看到的被恶意行为者使用和滥用的一些东西,”思科塔罗斯外联主管尼克·比亚西尼通过电子邮件告诉《黑客新闻》
“从使用云基础设施托管恶意软件到滥用动态DNS进行指挥和控制(C2)活动。此外,混淆层指向犯罪网络活动的当前状态,需要大量分析才能得出攻击的最终有效载荷和意图。”
与许多此类活动一样,这一切都始于一封以发票为主题的钓鱼电子邮件,其中包含一个ZIP文件附件,打开后会触发一个攻击序列,下载托管在基于Azure云的Windows服务器或AWS EC2实例上的下一阶段有效负载,最终导致部署不同的RAT,包括AsyncRAT、Nanocore和Netwire
一旦安装了特洛伊木马,攻击者不仅可以使用它来获得对机密数据的未经授权的访问,还可以利用它来获取对受损系统的访问权,以便勒索软件附属公司和其他网络犯罪集团进行进一步的后续攻击
还值得注意的是,使用DuckDNS(一种免费的动态DNS服务)创建恶意子域来交付恶意软件,其中一些参与者控制的恶意子域解析到Azure Cloud上的下载服务器,而其他服务器则作为RAT有效负载的C2运行
“恶意行为者是机会主义者,他们总是在寻找新的、创造性的方法来托管恶意软件并感染受害者,”比亚西尼说。“对Slack和Discord等平台的滥用,以及相关的云滥用,都是这种模式的一部分。我们还经常发现被用来托管恶意软件和其他基础设施的受损网站,并再次指出,这些对手将使用任何和所有手段来危害受害者。”
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
