Cyberattackers menyalahgunakan layanan Amazon Web Services (AWS) dan Azure Cloud untuk mengirimkan trio trojan akses jarak jauh (RAT), para peneliti memperingatkan – semuanya bertujuan untuk mengambil informasi sensitif dari pengguna target.
Menurut analisis dari Cisco Talos, pelaku ancaman telah telah meluncurkan varian malware yang dikenal sebagai AsyncRAT, Netwire dan Nanocore sejak Oktober, terutama ke target di Italia, Singapura, dan Amerika Serikat. Beberapa target telah berada di Korea Selatan dan Spanyol juga, menurut firm.
As dalam banyak kampanye, serangan dimulai dengan email phishing yang berisi lampiran .ZIP berbahaya, kata para peneliti. Tetapi penyerang memiliki trik berbasis cloud.
“File arsip .ZIP ini berisi gambar ISO dengan pemuat berbahaya dalam bentuk JavaScript, file batch Windows, atau skrip Visual Basic,” peneliti Talos menjelaskan pada hari Rabu. “Saat skrip awal dijalankan di mesin korban, skrip tersebut akan terhubung ke server unduhan untuk mengunduh tahap berikutnya, yang dapat dihosting di server Windows berbasis Azure Cloud atau instans AWS EC2.”
Clouding the (Malicious) Issue
Menggunakan cloud layanan untuk meng-host muatan adalah upaya cerdas untuk menghindari deteksi sekaligus memotong biaya kampanye, catat para peneliti, karena mereka tidak harus menyiapkan infrastruktur mereka sendiri.
“Jenis layanan cloud seperti Azure dan AWS memungkinkan penyerang untuk …terhubung ke internet dengan waktu atau komitmen moneter yang minimal,” menurut analisis tersebut. “Ini juga mempersulit pembela untuk melacak operasi penyerang.”
Aktor di balik kampanye ini memelihara infrastruktur terdistribusi yang terdiri dari server unduhan, server perintah-dan-kontrol (C2s) dan subdomain berbahaya, catat para peneliti. Server pengunduhan adalah yang dihosting di Microsoft Azure dan layanan cloud AWS.
“Aktor ancaman menggunakan layanan cloud terkenal dalam kampanye mereka karena publik secara pasif memercayai keamanan perusahaan besar,” Davis McCarthy, peneliti keamanan utama di Valtix, mengatakan melalui email. “Pembela jaringan mungkin menganggap komunikasi ke alamat IP yang dimiliki oleh Amazon atau Microsoft tidak berbahaya karena komunikasi tersebut sering terjadi di berbagai layanan.”
Selain itu, pengunduh JavaScript utama yang digunakan dalam kampanye memanfaatkan teknik kebingungan kompleks empat lapis dalam skripnya: “Setiap tahap proses deobfuscation menghasilkan metode dekripsi untuk tahap selanjutnya hingga akhirnya sampai pada metode pengunduh berbahaya yang sebenarnya,” peneliti menjelaskan. “Proses deobfuscation dilakukan pada setiap tahap dengan setiap tahap berikutnya dihasilkan sebagai hasil dari fungsi deobfuscation tahap sebelumnya.”
Kampanye ini juga menggunakan berbagai trojan penetes lainnya, termasuk pengunduh file batch dan pengunduh VBScript.
“ Skrip batch berisi perintah yang dikaburkan yang menjalankan PowerShell untuk mengunduh dan menjalankan muatan dari server unduhan… di Azure Cloud,” kata para peneliti. “Pengunduh VB yang dikaburkan menjalankan perintah PowerShell yang berjalan dan terhubung ke server unduhan…berjalan di AWS EC2.”
Dan akhirnya, untuk menutupi jejak mereka lebih jauh, penyerang menggunakan layanan DNS dinamis DuckDNS untuk mengubah nama domain host C2 . Talos menemukan bahwa mereka telah mendaftarkan beberapa subdomain berbahaya menggunakan layanan.
“Fakta bahwa para peretas terus-menerus memodifikasi pusat C2 mereka dengan DuckDNS, layanan DNS freeware – hanya menunjukkan bagaimana ‘dengan cara apa pun yang diperlukan’ para peretas bersedia untuk beroperasi,” Garret Grajek, CEO di YouAttest mengatakan melalui email. “Serangan seperti ini menunjukkan upaya tim dalam memindai, mengeksploitasi, mengaburkan, dan akhirnya melakukan pemusnahan.”
RAT mengerumuni Korbannya
RAT yang digunakan dalam kampanye datang dalam tiga rasa, semuanya menggunakan banyak fitur untuk mencuri informasi korban, menurut laporan tersebut. analysis:
<
ul>
<
ul>iNetwireRAT adalah ancaman yang diketahui digunakan oleh penyerang cyber untuk mencuri kata sandi korban, kredensial login, dan data kartu kredit . Ia juga memiliki kemampuan untuk mengeksekusi perintah dari jarak jauh dan mengumpulkan informasi sistem file.liu
- iNanocore adalah .NET portabel 32-bit yang dapat dieksekusi – ancaman komoditas yang pertama kali terlihat di alam liar pada tahun 2013. Versi yang digunakan dalam kampanye ini, yang memiliki build tanggal 26 Oktober, berisi dua plugin, yang disebut Client dan SurveillanceEx. Klien menangani komunikasi dengan server C2; dan SurveillanceEX merekam video dan audio, dan memantau aktivitas desktop jarak jauh.
Tips Deteksi: Memeriksa Koneksi Cloud Keluar
Aktor ancaman secara aktif menggunakan layanan cloud dalam kampanye jahat mereka, periset Talos memperingatkan, mencatat bahwa untuk mendeteksi aktivitas berbahaya, organisasi harus memeriksa koneksi keluar ke cloud-computing services.
“Organisasi harus menerapkan kontrol keamanan berlapis-lapis yang komprehensif untuk mendeteksi ancaman serupa dan melindungi aset mereka,” mereka menyimpulkan. “Pembela harus memantau lalu lintas ke organisasi mereka dan menerapkan aturan yang kuat seputar kebijakan eksekusi skrip di titik akhir mereka. Bahkan lebih penting bagi organisasi untuk meningkatkan keamanan email guna mendeteksi dan mengurangi pesan email berbahaya, dan memutus rantai infeksi sedini mungkin.” McCarthy
Valtix menambahkan, “Penggunaan DNS dinamis memberi aktor ancaman infrastruktur fleksibel yang tidak tidak memerlukan alamat IP statis. Ini mencegah gangguan kampanye dan memberikan lapisan kebingungan saat berburu ancaman untuk domain penyedia DNS dinamis tertentu. Membuat inventaris layanan cloud yang diketahui dan perilaku komunikasi jaringannya dapat membantu mendeteksi jenis kampanye ini.”
And, Grajek YouAttest memperingatkan organisasi untuk mengambil pendekatan holistik untuk mendeteksi: “Peningkatan hak istimewa sering menjadi bagian dari serangan ini untuk memastikan peretas dapat bergerak secara lateral melintasi perusahaan. Oleh karena itu, penting untuk memantau instalasi malware baru dan lalu lintas baru – tetapi juga modifikasi dalam akses dan hak istimewa.”
Penyedia Cloud Memiliki Tanggung Jawab
Miclain Keffeler, konsultan keamanan aplikasi di nVisium, mencatat bahwa peningkatan adopsi teknologi cloud terus berlanjut shift security.
“Yang dulunya tembok dengan penghalang dan lubang yang jelas sekarang telah berubah menjadi labirin yang rumit — di mana banyak pintu masuk labirin disusupi oleh RAT dan hama (serangan) tidak jelas lainnya,” katanya melalui email .
Dengan demikian, penyedia cloud juga siap untuk pertahanan, tambahnya.
“Organisasi perusahaan memiliki peran besar untuk dimainkan dalam teka-teki ini, tetapi begitu juga platform cloud publik,” katanya. Ini juga merupakan tanggung jawab mereka untuk memastikan bahwa ketika penggunaan berbahaya dari layanan dan lingkungan cloud mereka ditemukan, mereka segera dihentikan,” katanya. “Serangan semacam ini tidak akan kemana-mana, jadi penyedia cloud seperti AWS dan Microsoft Azure harus turun tangan untuk mengembangkan lebih banyak proses seputar pemberitahuan kasus penggunaan yang berbahaya — terutama mengingat sifat kompleks dari ancaman saat ini.”
Password Reset: Acara Sesuai Permintaan: Perkuat 2022 dengan strategi keamanan kata sandi yang dibuat untuk ancaman saat ini. Meja Bundar Keamanan Threatpost ini, dibuat untuk para profesional infosec, berpusat pada pengelolaan kredensial perusahaan, dasar-dasar sandi baru, dan mengurangi pelanggaran pasca-kredensial. Bergabunglah dengan Darren James, dengan Specops Software dan Roger Grimes, penginjil pertahanan di KnowBe4 dan pembawa acara Threatpost Becky Bracken. Daftar & streaming sesi GRATIS ini hari ini – disponsori oleh Specops Software.
Tulis komentar
Bagikan artikel ini:
- iMalware