SKADEVARE

Eksperter advarer: Store skytjenester brukes til å spre farlig skadevare

Sikkerhetsselskapet Cisco Talos med urovekkende rapport.

Nettskyen benyttes i økende grad av skadevare-aktører, sier Cisco Talos i sin nye rapport.
Nettskyen benyttes i økende grad av skadevare-aktører, sier Cisco Talos i sin nye rapport. Illustrasjonsfoto: Colourbox/25637048
15. jan. 2022 - 15:00

Skadevare-aktørene ser hele tiden etter nye angrepsmetoder og -vektorer og har blitt relativt kyndige i så måte. Nå advarer et sikkerhetsselskap mot skadevareangrep som spres ved hjelp av nettskytjenester, skriver blant andre ZDNet.

Etterforskere hos sikkerhetsselskapet Cisco Talos rapporterer at de har avdekket en omfattende skadevare-kampanje som benytter seg av nettsky-infrastrukturen til store aktører som Amazon og Microsoft – nærmere bestemt deres respektive AWS- og Azure-plattformer.

Kan ta kontroll over PC-en

Skadevaren som spres i den nye kampanjen er varianter av tre såkalte fjernaksesstrojanere eller RAT-programvare (remote access trojan). Disse heter Nanocore, Netwire og AsyncRAT, og de skilter med en rekke farlige attributter.

– Trusselaktøren i dette tilfellet brukte skytjenester til å iverksette og levere varianter av RAT-programmer med informasjonsstjelende egenskaper rundt 26. oktober 2021. Disse RAT-variantene er fullstappet med flere funksjoner for å ta kontroll over offerets miljø for å fjernkjøre vilkårlige kommandoer og stjele offerets informasjon, skriver forskerne.

Ifølge Cisco starter angrepene hovedsakelig, som så ofte ellers, med en phishing-e-post som inneholder et ondsinnet vedlegg – i dette tilfellet en zip-fil. 

Zip-filen inneholder et ISO-bilde med en skjult nedlaster som henter ned selve skadevaren, og nedlastningsserverne skal være en del av Microsoft Azure- og Amazon AWS-plattformene.

Verdt å merke seg er at skadevaren bruker den gratis DNS-tjenesten DuckDNS, som ifølge Cisco Talos setter bakmennene i stand til å bytte IP-adressene til kommandoserverne regelmessig og raskt legge til nye subdomener.

Sikkerhetsselskapet bedyrer at formålet med å benytte skyplattformer til å spre skadevare først og fremst er å gjøre jobben enklere for bakmennene, ved at de ikke trenger å benytte egen infrastruktur. 

Cisco melder om skadevare som spres gjennom annonser.
Les også

Farlig skadevare stjeler passord – Norge er rammet

Kan stjele passord og kredittkortdata

Ved å benytte Azure og AWS kan bakmennene iverksette handlingene med minimal tidsbruk og få ressurser, samt at teknikken gjør det vanskeligere å oppdage den ondsinnede virksomheten.

Når det gjelder de spesifikke egenskapene til skadevaren, er Netwire ifølge Cisco en kjent trussel som spesialiserer seg på blant annet å stjele passord, brukernavn og kredittkortdata, samt samle inn informasjon om filsystemer.

Nanocore-programvaren er i stand til å ta opp video og audio og fjernutføre kommandoer, mens AsyncRAT brukes til overvåkning og kontroll av PC-er via krypterte forbindelser, opplyser sikkerhetsforskerne. AsyncRAT kan utføre både keylogging, skjermopptak og systemkonfigurasjon.

Ofrene for den nye kampanjen befinner seg primært i USA og Canada, men forskerne har også sett aktivitet i Europa, deriblant Italia og Spania. At Norge også kan rammes, er derfor ikke utenkelig.

Cisco Talos råder organisasjoner til å overvåke utgående forbindelser til skytjenester og benytte sikkerhetssystemer med flere lag. Enda viktigere er det å opprettholde gode rutiner for e-postsikkerhet, slik at infeksjonen ikke starter i utgangspunktet.

Flere tekniske detaljer om kampanjen finner du i sikkerhetsselskapets egen rapport.

Ny skadevare distribuerer RAT-programmer og er vanskelig å oppdage, opplyser forskere.
Les også

Denne skadevaren smetter unna nesten alle antivirusprogrammer

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Hvordan lage en stillingsannonse på Tekjobb?
Les mer
Hvordan lage en stillingsannonse på Tekjobb?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra