Araştırmacıların bildirdiğine göre, yakın zamanda keşfedilen bir saldırı kampanyası, kullanıcıların verilerini hedeflemek üzere ticari RAT’ler Nanocore, Netwire ve AsyncRAT’lerin çeşitlerini sunmak için genel bulut altyapısını kullanıyor.
Bunu gözlemleyen Cisco Talos araştırmacılarına göre, Ekim ayında tespit edilen bu kampanya, saldırganların hedeflerine ulaşmak için kendi altyapılarını barındırmak zorunda kalmadan bulut teknolojileri kullanımını nasıl artırdıklarının altını çiziyor. Saldırganların saldırılarını başlatmak için Microsoft Azure ve Amazon Web Services gibi bulut hizmetlerini kullanan en son örneği.
Araştırmacılar, “Azure ve AWS gibi bu tür bulut hizmetleri, saldırganların altyapılarını kurmalarına ve minimum zaman veya parasal taahhütlerle internete bağlanmalarına izin veriyor” dedi. Blog yazısı. Stratejinin başka bir faydası daha var, diye eklediler: “Savunmacıların saldırganların operasyonlarını takip etmesini de zorlaştırıyor.”
Cisco Secure ürün telemetrisi, bu vakadaki kurbanların çoğunun Amerika Birleşik Devletleri, İtalya ve Singapur’da olduğunu gösteriyor. Hedeflendikleri uzaktan yönetim araçları (RAT’ler), bir ortamın kontrolünü ele geçirmek, uzaktan komutları yürütmek ve hedefin bilgilerini çalmak için birden fazla özellikle oluşturulmuştur.
Saldırı, kötü amaçlı bir ZIP eki içeren bir kimlik avı e-postasıyla başlar. ZIP dosyası, yükleyiciyi JavaScript, Visual Basic komut dosyası veya Windows toplu iş dosyası biçiminde içeren bir ISO görüntüsüdür. Saldırganlar, e-postayı sahte bir fatura dosyası olarak gizleyerek alıcıları kandırmaya çalıştı.
Bu kampanyanın arkasındaki bilinmeyen saldırganlar, indirici için dört seviye şaşırtma kullanır. Gizleme çözme işleminin her aşaması, nihai yükün indirilmesine yol açan aşağıdaki aşamalar için şifre çözme yöntemlerine yol açar. Araştırmacılar, ilk komut dosyası bir hedef makinede yürütüldüğünde, bir sonraki aşamayı indiren ve Azure tabanlı bir Windows sunucusunda veya bir AWS EC2 örneğinde barındırılabilen bir indirme sunucusuna bağlanır.
Saldırganlar, kötü amaçlı yazılımı dağıtmak için, bir kullanıcının alt etki alanları oluşturmasına ve DuckDNS komut dosyalarını kullanarak kayıtları tutmasına olanak tanıyan ücretsiz bir dinamik DNS hizmeti olan DuckDNS’yi kullanarak birden çok kötü amaçlı alt etki alanı kaydettirdi. Kötü amaçlı alt etki alanlarından bazıları, Azure Cloud’daki indirme sunucusuna çözümlenir; diğerleri, RAT’ler için komut ve kontrol (C2) olarak çalıştırılan sunuculara çözümlenir.
Talos’un sosyal yardım başkanı Nick Biasini, “Bu, işletmelerin karşılaştığı zorluklara harika bir örnek: bir tür uzaktan erişim yeteneği sağlamak için belirsiz bir ek ve birden çok gizleme katmanı kullanan kötü amaçlı e-posta” diyor. “Bugün işletmelerin karşı karşıya olduğu durum budur ve bu, tek bir kampanyada yaygın olarak gözlemlediğimiz tekniklerin çoğuna bir örnektir.”
Bu saldırıda görülen yükler, diğer kampanyalarda yaygın olarak kullanılan ticari RAT’lerdir. Bunlardan biri, 2013 yılında doğada ilk kez görülen yürütülebilir bir dosya olan Nanocore. Bir diğeri ise parolaları, oturum açma kimlik bilgilerini ve kredi kartı verilerini çalmak için kullanılan bilinen bir tehdit olan NetwireRAT. Komutları uzaktan yürütebilir ve dosya sistemi bilgilerini toplayabilir.
Üçüncü yük olan AsyncRAT, şifreli bağlantılar aracılığıyla hedef makineleri uzaktan izlemek ve kontrol etmek için tasarlanmıştır. Bu kampanyada saldırganlar, AsyncRAT istemcisini C2 sunucusuna bağlanacak şekilde yapılandırarak kullanır ve kurbanın cihazına uzaktan erişim sağlar. Daha sonra keylogger, ekran kaydı ve sistem konfigürasyon yöneticisi gibi bazı özelliklerini kullanarak verileri çalabilirler.
Biasini, bir kurbanın genellikle tek bir yük alacağını söylüyor; ancak Talos araştırmacıları, birden fazla RAT’ın veya diğer yüklerin bir hedef sisteme düştüğü durumları gördüler.
Buluta Daha Güçlü Odaklanma
Biasini, araştırmacıların genellikle saldırganların genel bulut altyapısını kötüye kullandıklarını gördüğünü söylüyor. Bunun bir nedeni, saldırganların fırsatçı olmasıdır – hedeflerine ulaşmalarına yardımcı olabilecek herhangi bir platformu kullanacaklardır. Azure ve AWS, her ikisi de büyük bulut platformlarıdır, bu nedenle saldırganların kampanyalarında kullanmak için diğer çeşitli bulut sağlayıcılarının yanı sıra bunlara bakmaları şaşırtıcı değildir.
Genel bulut kullanımlarındaki büyüme, başka bir erişim eğiliminin birincil hedef olduğuna işaret ediyor, diye ekliyor.
“Fidye yazılımı kartelleri ve bağlantılı kuruluşlar, kurbanlarını fidye için büyük miktarda para kazanıyorlar. [and] bu tür uzaktan erişim bu gruplara satılabilir ve satılmaktadır” diye açıklıyor Biasini. “Kötü niyetli aktörlerin tümü bu alanda faaliyet göstermek istemez, ancak kazanılacak parayla, bunlardan birine yalnızca ilk erişimi satmak finansal açıdan avantajlıdır. gruplar.”
Saldırganlar yalnızca bulut altyapısını kötüye kullanmıyor. Yeni araştırmalar, geçen yıl kurumsal ağlara yayılan tüm kötü amaçlı yazılımların üçte ikisinin Google Drive ve OneDrive dahil olmak üzere bulut uygulamalarından kaynaklandığını gösteriyor. Günümüz kuruluşlarının bulut uygulamalarından indirilen kötü amaçlı yazılımlardan etkilenme olasılığı diğer tüm kaynaklardan daha fazladır – bir vardiya uzmanları, saldırganlara fayda sağlayan kolaylık ve maliyete atfediyor.
Cisco Talos araştırmacıları, kuruluşlara kötü niyetli trafik için bulut hizmetlerine giden bağlantılarını incelemelerini tavsiye etti. Savunucuların ayrıca işlerine gelen trafiği izlemesi ve uç noktaları için komut dosyası yürütme politikaları etrafında kurallar uygulaması gerektiğini belirttiler.