В среду исследователи из Cisco Talos, Четан Рагупрасад (Chetan Raghuprasad) и Ваня Свайцер (Vanja Svajcer), заявили, что в октябре 2021 года была обнаружена новая серия кибератак, основанная на злонамереном использовании публичных облачных сервисов, включая Microsoft Azure и Amazon Web Services (AWS).
«Такие облачные службы, как Azure и AWS, позволяют злоумышленникам настроить свою инфраструктуру и подключиться к Интернету с минимальными затратами денег и времени, — говорят они. – Это также затрудняет защитникам отслеживание действий злоумышленников».
Цепочка атак начинается типичным образом: через фишинговое письмо, часто замаскированное под инвойс. К этим сообщениям прикрепляется образ ISO в виде ZIP-архива.
Попытка жертвы загрузить образ диска активирует скрипты JavaScript, Visual Basic или пакетный файл Windows, которые связываются с внешним сервером для загрузки трёх троянов – Nanocore, Netwire и AsyncRAT. Эти популярные коммерческие штаммы широко используются киберпреступниками для получения удалённого доступа и захвата уязвимых компьютеров, кражи пользовательских данных и ведения наблюдения в том числе с помощью встроенных микрофона и камеры.
Для сокрытия этих действий в скриптах используются методы запутывания. Сценарий JavaScript имеет четыре уровня обфускации, на каждом из которых последовательно запускается новый вредоносный процесс; пакетный файл содержит запутанные команды, которые запускают PowerShell для вредоносной загрузки, файл VBScript также использует команды PowerShell.
Кроме того, для перенаправления субдоменов на нужные IP-адреса хакеры используют легальный сервис динамических DNS, DuckDNS. По сведениям Talos, данная служба применяется ими для контроля загрузки через вредоносные поддомены DuckDNS и для маскировки имен управляющих серверов.
Большинство задействованных в этой кампании вредоносных субдоменов, серверов управления и контроля (C2) и файловых серверов размещены в Azure и AWS.
Рекомендации Talos по методам защиты от этих атак включают мониторинг входящего трафика и внедрение действенных правил, ограничивающих выполнение скриптов на конечных точках внутри организации. Особенное значение имеет улучшение защиты электронной почты, так как это позволяет обнаруживать и обезвреживать инфекцию в самом начале цепочки её распространения.