يتم دمج جهات التهديد الفاعلة Threat actors بنشاط الخدمات السحابية العامة Public cloud services من Amazon و Microsoft في حملاتها الخبيثة لتسليم طروادة الوصول عن بعد السلع الأساسية remote access Trojans (RATs) مثل Nanocore و Netwire و Asyncrat إلى Siphon المعلومات الحساسة من الأنظمة المتوفرة.
قال باحثون في سيسكو تالوس Cisco Talos في تقرير سيسكو تالوس إن هجمات الرمح الخادع Spear-phishing attacks التي بدأت في 2021 أكتوبر، لديها كيانات استهدفت في المقام الأول في الولايات المتحدة وكندا وإيطاليا وسنغافورة.
إن استخدام البنية التحتية الحالية لتسهيل التدخلات أصبحت جزءا أساسا من كتاب Playbook للمهاجمين لأنه يتضح الحاجة إلى استضافة خوادمها الخاصة، ناهيك عن استخدامها كآلية اختلاط لمنع الحلول الأمنية. لتجنبها.
في الأشهر الأخيرة، وجد أدوات التعاون والاتصالات Collaboration and communication tools مثل Discord وSlack وTelegram مكانا في العديد من سلاسل العدوى Infection chains للحصول على البيانات وإخراجها من آلات الضحايا. ينظر إليه في هذا الضوء، تعد إساءة استخدام Cloud Platform امتدادا تكتيكا يمكن للمهاجمين استغلالهم كخطوة أولى في العديد من الشبكات.
وقال Nick Biasini رئيس التوعية في Cisco Talos: "هناك العديد من الجوانب المثيرة للاهتمام لهذه الحملة الخاصة وهي تشير إلى بعض الأشياء التي كثيرا ما نرى استخدامها وتساءلها الجهات الفاعلة الضارة Malicious actors".
"من استخدام البنية التحتية السحابية لاستضافة البرامج الضارة لاستغلال أنشطة DNS الديناميكية للسيطرة على الأوامر والتحكم (C2)، تشير طبقات التعويض Layers of obfuscation إلى الحالة الحالية للنشاط السيبراني Cyber activity الحالي، حيث هناك حاجة إلى الكثير من التحليل للوصول إلى التهمة والنوايا النهائية الهجوم".
كما هو الحال مع العديد من هذه الأنواع من الحملات، كلها تبدأ بريدا إلكترونيا للتصيد تحت عنوان الفاتورة Invoice-themed phishing email تحتوي على مرفق ملف مضغوط ZIP، عند فتحه، يؤدي إلى تشغيل تسلسل هجوم يقوم بتنزيل حمولات المرحلة التالية التي تم استضافتها على خادم Windows Cloud-Cloud مثل EC2 AWS، في نهاية المطاف في نشر العديد من RATs، بما في ذلك Asyncrat، NanoCore، و Netwire.
ملحوظ أيضا هو استخدام Duckdns، خدمة DNS Dyndy Dynamic المجانية، لإنشاء نطاقات فرعية خبيثة Malicious subdomains لتسليم البرامج الضارة Malware، وحل بعض المجالات الفرعية الخبيثة التي تسيطر عليها الممثل إلى خادم التنزيل على سحابة Azure، أثناء استخدام خوادم أخرى ك C2 للحصول على حمولات RATs.
وقال Biasini: "الجهات الفاعلة الخبيثة هي الانتهازية وستبحث دائما عن طرق جديدة ومبتكرة لكل من البرامج الضارة المضيفة وإصابة الضحايا Infect victims". "إساءة استخدام المنصات مثل Slack وDiscord وسوء المعاملة السحابية ذي الصلة related cloud abuse هي جزء من هذا النمط. وغالبا ما نجد أن المواقع الخاضعة للخطر تستخدم لاستضافة البرامج الضارة والبنية التحتية الأخرى وتكرر مجددا أن هذه الخصوم تستخدم كل وسيلة لتوليد الضحايا".
قال باحثون في سيسكو تالوس Cisco Talos في تقرير سيسكو تالوس إن هجمات الرمح الخادع Spear-phishing attacks التي بدأت في 2021 أكتوبر، لديها كيانات استهدفت في المقام الأول في الولايات المتحدة وكندا وإيطاليا وسنغافورة.
إن استخدام البنية التحتية الحالية لتسهيل التدخلات أصبحت جزءا أساسا من كتاب Playbook للمهاجمين لأنه يتضح الحاجة إلى استضافة خوادمها الخاصة، ناهيك عن استخدامها كآلية اختلاط لمنع الحلول الأمنية. لتجنبها.
في الأشهر الأخيرة، وجد أدوات التعاون والاتصالات Collaboration and communication tools مثل Discord وSlack وTelegram مكانا في العديد من سلاسل العدوى Infection chains للحصول على البيانات وإخراجها من آلات الضحايا. ينظر إليه في هذا الضوء، تعد إساءة استخدام Cloud Platform امتدادا تكتيكا يمكن للمهاجمين استغلالهم كخطوة أولى في العديد من الشبكات.
"من استخدام البنية التحتية السحابية لاستضافة البرامج الضارة لاستغلال أنشطة DNS الديناميكية للسيطرة على الأوامر والتحكم (C2)، تشير طبقات التعويض Layers of obfuscation إلى الحالة الحالية للنشاط السيبراني Cyber activity الحالي، حيث هناك حاجة إلى الكثير من التحليل للوصول إلى التهمة والنوايا النهائية الهجوم".
كما هو الحال مع العديد من هذه الأنواع من الحملات، كلها تبدأ بريدا إلكترونيا للتصيد تحت عنوان الفاتورة Invoice-themed phishing email تحتوي على مرفق ملف مضغوط ZIP، عند فتحه، يؤدي إلى تشغيل تسلسل هجوم يقوم بتنزيل حمولات المرحلة التالية التي تم استضافتها على خادم Windows Cloud-Cloud مثل EC2 AWS، في نهاية المطاف في نشر العديد من RATs، بما في ذلك Asyncrat، NanoCore، و Netwire.
ملحوظ أيضا هو استخدام Duckdns، خدمة DNS Dyndy Dynamic المجانية، لإنشاء نطاقات فرعية خبيثة Malicious subdomains لتسليم البرامج الضارة Malware، وحل بعض المجالات الفرعية الخبيثة التي تسيطر عليها الممثل إلى خادم التنزيل على سحابة Azure، أثناء استخدام خوادم أخرى ك C2 للحصول على حمولات RATs.
وقال Biasini: "الجهات الفاعلة الخبيثة هي الانتهازية وستبحث دائما عن طرق جديدة ومبتكرة لكل من البرامج الضارة المضيفة وإصابة الضحايا Infect victims". "إساءة استخدام المنصات مثل Slack وDiscord وسوء المعاملة السحابية ذي الصلة related cloud abuse هي جزء من هذا النمط. وغالبا ما نجد أن المواقع الخاضعة للخطر تستخدم لاستضافة البرامج الضارة والبنية التحتية الأخرى وتكرر مجددا أن هذه الخصوم تستخدم كل وسيلة لتوليد الضحايا".
