В новой кампании кибератак используется публичная облачная инфраструктура

13 январь, 2022 - 16:41

В новой кампании кибератак используется публичная облачная инфраструктура

В среду исследователи из Cisco Talos, Четан Рагупрасад (Chetan Raghuprasad) и Ваня Свайцер (Vanja Svajcer), заявили, что в октябре 2021 года была обнаружена новая серия кибератак, основанная на злонамереном использовании публичных облачных сервисов, включая Microsoft Azure и Amazon Web Services (AWS).

«Такие облачные службы, как Azure и AWS, позволяют злоумышленникам настроить свою инфраструктуру и подключиться к Интернету с минимальными затратами денег и времени, — говорят они. – Это также затрудняет защитникам отслеживание действий злоумышленников».

Цепочка атак начинается типичным образом: через фишинговое письмо, часто замаскированное под инвойс. К этим сообщениям прикрепляется образ ISO в виде ZIP-архива.

Попытка жертвы загрузить образ диска активирует скрипты JavaScript, Visual Basic или пакетный файл Windows, которые связываются с внешним сервером для загрузки трёх троянов – Nanocore, Netwire и AsyncRAT. Эти популярные коммерческие штаммы широко используются киберпреступниками для получения удалённого доступа и захвата уязвимых компьютеров, кражи пользовательских данных и ведения наблюдения в том числе с помощью встроенных микрофона и камеры.

Для сокрытия этих действий в скриптах используются методы запутывания. Сценарий JavaScript имеет четыре уровня обфускации, на каждом из которых последовательно запускается новый вредоносный процесс; пакетный файл содержит запутанные команды, которые запускают PowerShell для вредоносной загрузки, файл VBScript также использует команды PowerShell.

Кроме того, для перенаправления субдоменов на нужные IP-адреса хакеры используют легальный сервис динамических DNS, DuckDNS. По сведениям Talos, данная служба применяется ими для контроля загрузки через вредоносные поддомены DuckDNS и для маскировки имен управляющих серверов.

Большинство задействованных в этой кампании вредоносных субдоменов, серверов управления и контроля (C2) и файловых серверов размещены в Azure и AWS.

Рекомендации Talos по методам защиты от этих атак включают мониторинг входящего трафика и внедрение действенных правил, ограничивающих выполнение скриптов на конечных точках внутри организации. Особенное значение имеет улучшение защиты электронной почты, так как это позволяет обнаруживать и обезвреживать инфекцию в самом начале цепочки её распространения.