Een recent ontdekte aanvalscampagne maakt gebruik van openbare cloudinfrastructuur om varianten van standaard RAT's Nanocore, Netwire en AsyncRAT's te leveren om de gegevens van gebruikers te targeten, rapporteren onderzoekers.

Deze campagne, die in oktober werd gedetecteerd, onderstreept hoe aanvallers hun gebruik van cloudtechnologieën vergroten om hun doelen te bereiken zonder hun eigen infrastructuur te hoeven hosten, melden de Cisco Talos-onderzoekers die het hebben waargenomen. Het is het nieuwste voorbeeld van kwaadwillenden die cloudservices, zoals Microsoft Azure en Amazon Web Services, gebruiken om hun aanvallen uit te voeren.

"Met dit soort cloudservices zoals Azure en AWS kunnen aanvallers hun infrastructuur opzetten en verbinding maken met internet met minimale tijd of geldelijke verplichtingen", schreven onderzoekers in een blogpost. De strategie heeft nog een ander voordeel, voegde ze eraan toe: "Het maakt het ook moeilijker voor verdedigers om de operaties van de aanvallers op te sporen."

De meeste slachtoffers in dit geval bevinden zich in de Verenigde Staten, Italië en Singapore, geeft Cisco Secure-producttelemetrie aan. De hulpprogramma's voor extern beheer (RAT's) waarmee ze het doelwit zijn, zijn gebouwd met meerdere functies om de controle over een omgeving over te nemen, opdrachten op afstand uit te voeren en de informatie van het doelwit te stelen.

Een aanval begint met een phishing-e-mail die een kwaadaardige ZIP-bijlage bevat. Het ZIP-bestand is een ISO-image dat de lader bevat in JavaScript, Visual Basic-script of Windows-batchbestandsindeling. De aanvallers hebben geprobeerd de ontvangers te misleiden door de e-mail te vermommen als een nep-factuurbestand.

De onbekende aanvallers achter deze campagne gebruiken vier niveaus van verduistering voor de downloader. Elke fase van het deobfuscatieproces leidt tot decoderingsmethoden voor de volgende fasen, die uiteindelijk leiden tot het downloaden van de uiteindelijke payload. Wanneer het eerste script wordt uitgevoerd op een doelmachine, maakt het verbinding met een downloadserver die de volgende fase downloadt, die kan worden gehost op een Azure-gebaseerde Windows-server of een AWS EC2-instantie, aldus onderzoekers.

Om de malware af te leveren, registreerden de aanvallers meerdere kwaadaardige subdomeinen met behulp van DuckDNS, een gratis dynamische DNS-service waarmee een gebruiker subdomeinen kan maken en de records kan bijhouden met behulp van de DuckDNS-scripts. Sommige van de schadelijke subdomeinen worden omgezet naar de downloadserver op Azure Cloud; anderen gaan naar de servers die worden gebruikt als command-and-control (C2) voor RAT's.

"Het is gewoon een goed voorbeeld van de uitdagingen waarmee bedrijven worden geconfronteerd: kwaadaardige e-mail, het gebruik van een obscure bijlage en meerdere lagen van verduistering om een ​​soort van toegang op afstand mogelijk te maken", zegt Nick Biasini, hoofd outreach bij Talos. "Dit is waar ondernemingen tegenwoordig mee te maken hebben, en dit is een voorbeeld van veel van de technieken die we vaak in één enkele campagne hebben waargenomen."

De payloads die bij deze aanval worden gezien, zijn commodity-RAT's die vaak worden gebruikt in andere campagnes. Een daarvan is Nanocore, een uitvoerbaar bestand dat voor het eerst in het wild werd ontdekt in 2013. Een ander voorbeeld is NetwireRAT, een bekende bedreiging die wordt gebruikt om wachtwoorden, inloggegevens en creditcardgegevens te stelen. Het is in staat om op afstand opdrachten uit te voeren en bestandssysteeminformatie te verzamelen.

AsyncRAT, de derde payload, is ontworpen om doelmachines op afstand te bewaken en te besturen via versleutelde verbindingen. In deze campagne gebruiken aanvallers de AsyncRAT-client door deze te configureren om verbinding te maken met de C2-server en hen op afstand toegang te geven tot het apparaat van een slachtoffer. Ze kunnen vervolgens gegevens stelen met behulp van enkele van de functies, waaronder een keylogger, schermopname en systeemconfiguratiemanager.

Biasini zegt dat een slachtoffer doorgaans één lading ontvangt; Talos-onderzoekers hebben echter gevallen gezien waarin meerdere RAT's of andere payloads op een doelsysteem worden gedropt.

Een sterkere focus op de cloud
Onderzoekers zien vaak dat aanvallers de openbare cloudinfrastructuur misbruiken, zegt Biasini. Een deel van de reden is dat aanvallers opportunistisch zijn: ze zullen elk platform gebruiken om hun doelen te bereiken. Azure en AWS zijn beide grote cloudplatforms, dus het is niet verwonderlijk dat aanvallers deze, evenals een aantal andere cloudproviders, zouden gebruiken in hun campagnes.

De groei in hun gebruik van de openbare cloud wijst er ook op dat een andere trend van toegang een primair doel is, voegt hij eraan toe.

"Ransomwarekartels en aanverwante filialen verdienen enorme sommen geld met het vrijkopen van hun slachtoffers, [en] dit soort toegang op afstand kan en wordt verkocht aan deze groepen", legt Biasini uit. "Niet alle kwaadwillende actoren willen in die ruimte opereren, maar met het geld dat verdiend kan worden, is het financieel voordelig om de initiële toegang gewoon aan een van deze groepen te verkopen."

Aanvallers maken niet alleen misbruik van de cloudinfrastructuur. Uit nieuw onderzoek blijkt dat tweederde van alle malware zich vorig jaar naar bedrijfsnetwerken heeft verspreid ontstaan ​​in cloud-apps, inclusief Google Drive en OneDrive. Organisaties van vandaag hebben meer kans om te worden getroffen door malwaredownloads van cloudapplicaties dan van enige andere bron - een verschuiving die experts toeschrijven aan het gemak en de kosten die aanvallers ten goede komen.

Cisco Talos-onderzoekers adviseerden organisaties om hun uitgaande verbindingen met cloudservices te inspecteren op kwaadaardig verkeer. Verdedigers moeten ook het verkeer naar hun bedrijf in de gaten houden en regels implementeren rond het scriptuitvoeringsbeleid voor hun eindpunten, merkten ze op.

Bron: https://www.darkreading.com/cloud/new-campaign-uses-public-cloud-infrastructure-to-spread-rats