Eksperter advarer: Store skytjenester brukes til å spre farlig skadevare

Sikkerhetsselskapet Cisco Talos med urovekkende rapport.

Eksperter advarer: Store skytjenester brukes til å spre farlig skadevare
Nettskyen benyttes i økende grad av skadevare-aktører, sier Cisco Talos i sin nye rapport. Illustrasjonsfoto: Colourbox/25637048

Skadevare-aktørene ser hele tiden etter nye angrepsmetoder og -vektorer og har blitt relativt kyndige i så måte. Nå advarer et sikkerhetsselskap mot skadevareangrep som spres ved hjelp av nettskytjenester, skriver blant andre ZDNet.

Etterforskere hos sikkerhetsselskapet Cisco Talos rapporterer at de har avdekket en omfattende skadevare-kampanje som benytter seg av nettsky-infrastrukturen til store aktører som Amazon og Microsoft – nærmere bestemt deres respektive AWS- og Azure-plattformer.

Kan ta kontroll over PC-en

Skadevaren som spres i den nye kampanjen er varianter av tre såkalte fjernaksesstrojanere eller RAT-programvare (remote access trojan). Disse heter Nanocore, Netwire og AsyncRAT, og de skilter med en rekke farlige attributter.

– Trusselaktøren i dette tilfellet brukte skytjenester til å iverksette og levere varianter av RAT-programmer med informasjonsstjelende egenskaper rundt 26. oktober 2021. Disse RAT-variantene er fullstappet med flere funksjoner for å ta kontroll over offerets miljø for å fjernkjøre vilkårlige kommandoer og stjele offerets informasjon, skriver forskerne.

Ifølge Cisco starter angrepene hovedsakelig, som så ofte ellers, med en phishing-e-post som inneholder et ondsinnet vedlegg – i dette tilfellet en zip-fil. 

Zip-filen inneholder et ISO-bilde med en skjult nedlaster som henter ned selve skadevaren, og nedlastningsserverne skal være en del av Microsoft Azure- og Amazon AWS-plattformene.

Verdt å merke seg er at skadevaren bruker den gratis DNS-tjenesten DuckDNS, som ifølge Cisco Talos setter bakmennene i stand til å bytte IP-adressene til kommandoserverne regelmessig og raskt legge til nye subdomener.

Sikkerhetsselskapet bedyrer at formålet med å benytte skyplattformer til å spre skadevare først og fremst er å gjøre jobben enklere for bakmennene, ved at de ikke trenger å benytte egen infrastruktur. 

Les også

Kan stjele passord og kredittkortdata

Ved å benytte Azure og AWS kan bakmennene iverksette handlingene med minimal tidsbruk og få ressurser, samt at teknikken gjør det vanskeligere å oppdage den ondsinnede virksomheten.

Når det gjelder de spesifikke egenskapene til skadevaren, er Netwire ifølge Cisco en kjent trussel som spesialiserer seg på blant annet å stjele passord, brukernavn og kredittkortdata, samt samle inn informasjon om filsystemer.

Nanocore-programvaren er i stand til å ta opp video og audio og fjernutføre kommandoer, mens AsyncRAT brukes til overvåkning og kontroll av PC-er via krypterte forbindelser, opplyser sikkerhetsforskerne. AsyncRAT kan utføre både keylogging, skjermopptak og systemkonfigurasjon.

Ofrene for den nye kampanjen befinner seg primært i USA og Canada, men forskerne har også sett aktivitet i Europa, deriblant Italia og Spania. At Norge også kan rammes, er derfor ikke utenkelig.

Cisco Talos råder organisasjoner til å overvåke utgående forbindelser til skytjenester og benytte sikkerhetssystemer med flere lag. Enda viktigere er det å opprettholde gode rutiner for e-postsikkerhet, slik at infeksjonen ikke starter i utgangspunktet.

Flere tekniske detaljer om kampanjen finner du i sikkerhetsselskapets egen rapport.

Les også

Les mer om:
;