Trojan Akses Jarak Jauh menyebar melalui Microsoft Azure, penyalahgunaan layanan cloud AWS
Security

Trojan Akses Jarak Jauh menyebar melalui Microsoft Azure, penyalahgunaan layanan cloud AWS

Kampanye baru-baru ini yang memanfaatkan infrastruktur cloud publik menyebarkan bukan hanya satu, tetapi tiga Trojan Akses Jarak Jauh (RAT) komersial.

Payload Nanocore, Netwire, dan AsyncRAT sedang dikerahkan dari sistem cloud publik dalam apa yang disarankan Cisco Talos sebagai cara bagi penyerang siber untuk menghindari keharusan memiliki atau mengelola infrastruktur pribadi berbayar mereka — seperti melalui hosting ‘antipeluru’ yang pada akhirnya dapat menangkap kepentingan penegak hukum.

Penyalahgunaan ini memungkinkan penjahat dunia maya untuk memanfaatkan sumber daya layanan cloud yang dikelola oleh vendor termasuk Microsoft Azure dan Amazon Web Services (AWS) untuk tujuan jahat.

“Jenis layanan cloud seperti Azure dan AWS memungkinkan penyerang untuk menyiapkan infrastruktur mereka dan terhubung ke internet dengan waktu atau komitmen moneter yang minimal,” kata Talos. “Itu juga membuat lebih sulit bagi para pembela untuk melacak operasi penyerang.”

Pada hari Rabu, peneliti Cisco Talos Chetan Raghuprasad dan Vanja Svajcer mengatakan bahwa kampanye baru berdasarkan infrastruktur cloud publik ditemukan pada Oktober 2021 dan mayoritas korban berbasis di AS, Kanada, dan Italia – namun, beberapa tampaknya berasal dari Spanyol dan Korea Selatan.

Rantai serangan dimulai dengan cara yang khas: melalui email phishing, sering kali disamarkan sebagai faktur.

Pesan-pesan ini memiliki file .ZIP terlampir yang, setelah dibuka, menampilkan gambar ISO. File ISO dilengkapi dengan pemuat berbahaya untuk Trojan melalui JavaScript, file batch Windows, atau skrip Visual Basic.

Jika korban mencoba memuat gambar disk, skrip ini akan dipicu. Dirancang untuk menggunakan Nanocore, Netwire, dan AsyncRAT, skrip akan menjangkau server unduhan untuk mengambil muatan – dan di sinilah layanan cloud publik berperan.

Namun, skrip pengunduh menggunakan teknik kebingungan untuk menyembunyikan aktivitas ini. JavaScript berisi empat lapisan kebingungan dengan setiap proses baru yang berbahaya yang dihasilkan setelah lapisan sebelumnya dikupas kembali; file batch berisi perintah yang dikaburkan yang menjalankan PowerShell untuk mengambil muatannya, dan file VBScript juga menggunakan perintah PowerShell.

Dropper PowerShell yang dibuat dengan HCrypt juga terdeteksi.

Penyerang di balik kampanye mengelola berbagai host muatan, server perintah-dan-kontrol (C2), dan subdomain berbahaya. Mayoritas yang terdeteksi, sejauh ini, dihosting di Azure dan AWS.

“Beberapa server unduhan menjalankan aplikasi server web Apache,” kata para peneliti. “Server HTTP dikonfigurasi untuk memungkinkan daftar direktori terbuka yang berisi varian malware NanocoreRATs, Netwire RAT, dan AsyncRATs.”

Selain itu, operator menyalahgunakan DuckDNS, layanan DNS dinamis yang sah untuk mengarahkan subdomain ke alamat IP. Layanan ini digunakan untuk mengelola unduhan malware melalui subdomain DuckDNS berbahaya dan untuk menutupi nama host C2, menurut Talos.

Netwire, Nanocore, dan AsyncRAT adalah jenis Trojan komersial populer yang banyak digunakan oleh pelaku ancaman untuk mengakses dan membajak mesin yang rentan dari jarak jauh, mencuri data pengguna, dan melakukan pengawasan dengan cara termasuk pengambilan audio dan kamera.

“Pembela harus memantau lalu lintas ke organisasi mereka dan menerapkan aturan yang kuat seputar kebijakan eksekusi skrip di titik akhir mereka,” komentar para peneliti. “Ini bahkan lebih penting bagi organisasi untuk meningkatkan keamanan email untuk mendeteksi dan mengurangi pesan email berbahaya dan memutus rantai infeksi sedini mungkin.”

Liputan sebelumnya dan terkait


Punya tip? Hubungi dengan aman melalui WhatsApp | Sinyal di +447713 025 499, atau lebih di Keybase: charlie0


Posted By : togel hari ini hongkong