Le nuove minacce informatiche utilizzano i servizi cloud pubblici di Amazon e Microsoft per fornire trojan di accesso remoto (RAT) come Nanocore , Netwire e AsyncRAT per sottrarre informazioni sensibili da sistemi compromessi.
Gli attacchi di spear-phishing, iniziati nell’ottobre 2021, hanno preso di mira principalmente entità situate negli Stati Uniti, in Canada, in Italia e a Singapore, hanno affermato i ricercatori di Cisco Talos in un rapporto condiviso con The Hacker News.
L’utilizzo dell’infrastruttura esistente per facilitare le intrusioni sta diventando sempre più parte del programma di un utente malintenzionato in quanto ovvia alla necessità di ospitare i propri server, per non parlare del suo utilizzo come meccanismo di cloaking per eludere il rilevamento da parte delle soluzioni di sicurezza.
Negli ultimi mesi, strumenti di collaborazione e comunicazione come Discord, Slack e Telegram hanno trovato molte attività di infezioni per requisire ed esfiltrare i dati dalle macchine delle vittime. Visto in tale ottica, l’abuso delle piattaforme cloud è un’estensione tattica che gli aggressori potrebbero sfruttare come primo passo in una vasta gamma di reti.
“Ci sono diversi aspetti interessanti in questa particolare campagna e indica alcune delle cose che vediamo comunemente usate e maltrattate da attori malintenzionati“, ha detto a The Hacker News via e-mail Nick Biasini, capo del supporto di Cisco Talos.
“Dall’uso dell’infrastruttura cloud per ospitare malware all’abuso del DNS dinamico per le attività di comando e controllo (C2). Inoltre, i livelli di offuscamento indicano lo stato attuale delle attività informatiche criminali, dove sono necessarie molte analisi per scendi al carico utile finale e alle intenzioni dell’attacco“.
Come per molti di questi tipi di campagne, tutto inizia con un’e-mail di phishing a tema fattura contenente un file ZIP allegato che, una volta aperto, attiva una sequenza di attacco che scarica i payload della fase successiva ospitati su un server Windows basato su Azure Cloud o un Istanza AWS EC2, che culminerà infine nella distribuzione di diversi RAT, tra cui AsyncRAT, Nanocore e Netwire.
Degno di nota è anche l’uso di DuckDNS, un servizio DNS dinamico gratuito, per creare sottodomini dannosi per fornire malware, con alcuni dei sottodomini dannosi controllati dall’attore che si risolvono nel server di download su Azure Cloud mentre altri server funzionano come C2 per i payload RAT .
“Gli attori dannosi sono opportunisti e cercheranno sempre modi nuovi e fantasiosi per ospitare malware e infettare le vittime“, ha affermato Biasini. “L’abuso di piattaforme come Slack e Discord, nonché il relativo abuso del cloud, fanno parte di questo schema. Troviamo anche comunemente siti Web compromessi utilizzati per ospitare malware e altre infrastrutture e sottolinea ancora una volta il fatto che questi avversari utilizzeranno qualsiasi mezzo per compromettere le vittime“.
