Skadevare-aktørene ser hele tiden etter nye angrepsmetoder og -vektorer og har blitt relativt kyndige i så måte. Nå advarer et sikkerhetsselskap mot skadevareangrep som spres ved hjelp av nettskytjenester, skriver blant andre ZDNet.
Etterforskere hos sikkerhetsselskapet Cisco Talos rapporterer at de har avdekket en omfattende skadevare-kampanje som benytter seg av nettsky-infrastrukturen til store aktører som Amazon og Microsoft – nærmere bestemt deres respektive AWS- og Azure-plattformer.
Kan ta kontroll over PC-en
Skadevaren som spres i den nye kampanjen er varianter av tre såkalte fjernaksesstrojanere eller RAT-programvare (remote access trojan). Disse heter Nanocore, Netwire og AsyncRAT, og de skilter med en rekke farlige attributter.
– Trusselaktøren i dette tilfellet brukte skytjenester til å iverksette og levere varianter av RAT-programmer med informasjonsstjelende egenskaper rundt 26. oktober 2021. Disse RAT-variantene er fullstappet med flere funksjoner for å ta kontroll over offerets miljø for å fjernkjøre vilkårlige kommandoer og stjele offerets informasjon, skriver forskerne.
Ifølge Cisco starter angrepene hovedsakelig, som så ofte ellers, med en phishing-e-post som inneholder et ondsinnet vedlegg – i dette tilfellet en zip-fil.
Zip-filen inneholder et ISO-bilde med en skjult nedlaster som henter ned selve skadevaren, og nedlastningsserverne skal være en del av Microsoft Azure- og Amazon AWS-plattformene.
Verdt å merke seg er at skadevaren bruker den gratis DNS-tjenesten DuckDNS, som ifølge Cisco Talos setter bakmennene i stand til å bytte IP-adressene til kommandoserverne regelmessig og raskt legge til nye subdomener.
Sikkerhetsselskapet bedyrer at formålet med å benytte skyplattformer til å spre skadevare først og fremst er å gjøre jobben enklere for bakmennene, ved at de ikke trenger å benytte egen infrastruktur.
Kan stjele passord og kredittkortdata
Ved å benytte Azure og AWS kan bakmennene iverksette handlingene med minimal tidsbruk og få ressurser, samt at teknikken gjør det vanskeligere å oppdage den ondsinnede virksomheten.
Når det gjelder de spesifikke egenskapene til skadevaren, er Netwire ifølge Cisco en kjent trussel som spesialiserer seg på blant annet å stjele passord, brukernavn og kredittkortdata, samt samle inn informasjon om filsystemer.
Nanocore-programvaren er i stand til å ta opp video og audio og fjernutføre kommandoer, mens AsyncRAT brukes til overvåkning og kontroll av PC-er via krypterte forbindelser, opplyser sikkerhetsforskerne. AsyncRAT kan utføre både keylogging, skjermopptak og systemkonfigurasjon.
Ofrene for den nye kampanjen befinner seg primært i USA og Canada, men forskerne har også sett aktivitet i Europa, deriblant Italia og Spania. At Norge også kan rammes, er derfor ikke utenkelig.
Cisco Talos råder organisasjoner til å overvåke utgående forbindelser til skytjenester og benytte sikkerhetssystemer med flere lag. Enda viktigere er det å opprettholde gode rutiner for e-postsikkerhet, slik at infeksjonen ikke starter i utgangspunktet.
Flere tekniske detaljer om kampanjen finner du i sikkerhetsselskapets egen rapport.