Peretas Menggunakan Layanan Cloud untuk Mendistribusikan Malware Nanocore, Netwire, dan AsyncRAT

  • Whatsapp
remote access trojans
Peretas Menggunakan Layanan Cloud untuk Mendistribusikan Malware Nanocore Netwire dan

News.nextcloud.asia –

trojan akses jarak jauh

Pelaku ancaman secara aktif menggabungkan layanan cloud publik dari Amazon dan Microsoft ke dalam kampanye jahat mereka untuk mengirimkan trojan akses jarak jauh komoditas (RAT) seperti nanocore, jaringan kabel, dan tidak sinkron untuk menyedot informasi sensitif dari sistem yang disusupi.

Serangan spear-phishing, yang dimulai pada Oktober 2021, terutama menargetkan entitas yang berlokasi di AS, Kanada, Italia, dan Singapura, kata peneliti dari Cisco Talos dalam sebuah laporan dibagikan dengan The Hacker News.

Menggunakan infrastruktur yang ada untuk memfasilitasi intrusi semakin menjadi bagian dari pedoman penyerang karena meniadakan kebutuhan untuk meng-host server mereka sendiri, belum lagi menggunakannya sebagai mekanisme penyelubungan untuk menghindari deteksi oleh solusi keamanan.

Pencadangan GitHub Otomatis

Dalam beberapa bulan terakhir, alat kolaborasi dan komunikasi seperti Discord, Slack, dan Telegram telah menemukan tempat di banyak rantai infeksi untuk mengambil alih dan mengekstrak data dari mesin korban. Dilihat dari sudut pandang itu, penyalahgunaan platform cloud adalah ekstensi taktis yang dapat dimanfaatkan penyerang sebagai langkah pertama ke berbagai jaringan.

“Ada beberapa aspek menarik dari kampanye khusus ini, dan ini menunjukkan beberapa hal yang biasa kita lihat digunakan dan disalahgunakan oleh aktor jahat,” Nick Biasini, kepala penjangkauan di Cisco Talos, mengatakan kepada The Hacker News melalui email.

“Dari penggunaan infrastruktur cloud untuk menghosting malware hingga penyalahgunaan DNS dinamis untuk aktivitas command-and-control (C2). Selain itu, lapisan kebingungan menunjukkan keadaan saat ini dari aktivitas kriminal dunia maya, di mana dibutuhkan banyak analisis untuk turun ke muatan terakhir dan niat serangan.”

Seperti banyak dari jenis kampanye ini, semuanya dimulai dengan email phishing bertema faktur yang berisi lampiran file ZIP yang, ketika dibuka, memicu urutan serangan yang mengunduh muatan tahap berikutnya yang dihosting di server Windows berbasis Azure Cloud atau Instans AWS EC2, yang pada akhirnya berpuncak pada penerapan RAT yang berbeda, termasuk AsyncRAT, Nanocore, dan Netwire.

Mencegah Pelanggaran Data

Yang juga perlu diperhatikan adalah penggunaan DuckDNS, layanan DNS dinamis gratis, untuk membuat subdomain berbahaya untuk mengirimkan malware, dengan beberapa subdomain berbahaya yang dikendalikan aktor menyelesaikan ke server unduhan di Azure Cloud sementara server lain dioperasikan sebagai C2 untuk muatan RAT .

“Aktor jahat bersifat oportunistik dan akan selalu mencari cara baru dan inventif untuk menampung malware dan menginfeksi korban,” kata Biasini. “Penyalahgunaan platform seperti Slack dan Discord serta penyalahgunaan cloud terkait adalah bagian dari pola ini. Kami juga sering menemukan situs web yang disusupi digunakan untuk meng-host malware dan infrastruktur lainnya juga dan sekali lagi menunjukkan fakta bahwa musuh ini akan menggunakan segala cara untuk mengkompromikan para korban.”

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.