Genel bulut altyapısından yararlanan yakın tarihli bir kampanya, kötü amaçlı amaçlarla bir değil, üç Uzaktan Erişim Truva Atı (RAT) dağıtıyor. Cisco Talos, Nanocore, Netwire ve AsyncRAT yüklerinin, siber saldırganların kendi özel ücretli altyapılarına sahip olmak veya bunları yönetmek zorunda kalmamak için genel bulut sistemlerinden dağıtıldığını açıklıyor. Bilgisayar korsanları, özellikle, muhtemelen polisin ilgisini çekebilecek “kurşun geçirmez” konaklamaya güvenirler.
Bu kötüye kullanım, siber suçluların Microsoft Azure ve Amazon Web Services (AWS) gibi sağlayıcılar tarafından yönetilen bulut hizmetlerinin kaynaklarından kötü niyetli amaçlarla yararlanmalarına olanak tanır. Talos araştırmacıları, “Azure ve AWS gibi bu tür bulut hizmetleri, saldırganların altyapılarını kurmasına ve minimum zaman veya para taahhüdüyle İnternet’e bağlanmasına izin veriyor” diye açıklıyor. “Ayrıca, savunucuların saldırganların operasyonlarını takip etmesini zorlaştırıyor.”
Çarşamba günü, Cisco araştırmacıları Talos Chetan Raghuprasad ve Vanja Svajcer, Ekim 2021’de genel bulut altyapısına dayalı yeni bir kampanyanın keşfedildiğini ve kurbanların çoğunun Amerika Birleşik Devletleri, Kanada ve İtalya’da bulunduğunu söyledi. İspanya ve Güney Kore’den.
Kanıtlanmış bir metodoloji
Saldırı zinciri, genellikle fatura kılığına giren bir kimlik avı e-postasıyla başlar. Bu mesajlara, açıldığında bir ISO görüntüsünü ortaya çıkaran .ZIP dosyaları eşlik eder. ISO dosyası, JavaScript aracılığıyla Truva atları için kötü amaçlı bir yükleyici, bir Windows toplu iş dosyası veya bir Visual Basic komut dosyası ile donatılmıştır.
Bir kurban disk görüntüsünü yüklemeye çalışırsa, bu komut dosyaları tetiklenir. Nanocore, Netwire ve AsyncRAT’ı dağıtmak için tasarlanan komut dosyaları, bir yükü almak için bir indirme sunucusuna bağlanır – ve işte burada bir genel bulut hizmeti devreye girer.
Yine de indirme komut dosyaları, bu etkinlikleri örtbas etmek için şaşırtma tekniklerini kullanır. JavaScript, bir önceki katman soyulduktan sonra ortaya çıkan her yeni kötü amaçlı işlemle birlikte dört gizleme katmanı içerir. Toplu iş dosyası, yükü almak için PowerShell’i çalıştıran gizlenmiş komutlar içerir ve VBScript dosyası ayrıca PowerShell komutlarını kullanır.
Artan uyanıklık
HCrypt ile oluşturulmuş bir PowerShell damlalığı da algılandı. Bu kampanyanın arkasındaki saldırganlar, çeşitli kötü niyetli yük ana bilgisayarlarını, Komuta ve Kontrol (C2) sunucularını ve alt etki alanlarını yönetir. Şimdiye kadar tespit edilen sunucuların çoğu Azure ve AWS’de barındırılıyor. Araştırmacılar, “İndirme sunucularından bazıları Apache web sunucusu uygulamasını çalıştırıyor” diyor. “HTTP sunucuları, NanocoreRATs, Netwire RAT ve AsyncRATs kötü amaçlı yazılımlarının türevlerini içeren açık dizinlere referans verilmesine izin verecek şekilde yapılandırılmıştır.”
Ek olarak operatörler, alt etki alanlarını IP adreslerine yönlendirmek için meşru bir dinamik DNS hizmeti olan DuckDNS’yi kötüye kullanır. Talos’a göre bu hizmet, kötü amaçlı DuckDNS alt alanları aracılığıyla kötü amaçlı yazılım indirmelerini yönetmek ve C2 ana bilgisayarlarının adlarını maskelemek için kullanılıyor. Netwire, Nanocore ve AsyncRAT, tehdit aktörleri tarafından savunmasız makinelere uzaktan erişmek ve onları ele geçirmek, kullanıcı verilerini çalmak ve ses yakalama ve kamera dahil olmak üzere gözetim gerçekleştirmek için yaygın olarak kullanılan popüler ticari Truva atı türleridir.
Araştırmacılar, “Savunucuların kuruluşlarına gelen trafiği izlemesi ve cihazlarında komut dosyalarını çalıştırma politikaları etrafında sağlam kurallar koyması gerekiyor” dedi. “Kötü niyetli e-posta mesajlarını tespit etmek ve azaltmak ve enfeksiyon zincirini mümkün olduğunca erken kırmak için kuruluşların e-posta güvenliğini iyileştirmesi daha da önemli.”
Kaynak: ZDNet.com