Azure et AWS sous le coup d’une multiplication d’abus de service

Spread the love
Azure et AWS sous le coup d'une multiplication d'abus de service

Une récente campagne exploitant l’infrastructure du cloud public déploie non pas un, mais trois chevaux de Troie d’accès à distance (RAT) à des fins malveillantes. Les charges utiles Nanocore, Netwire et AsyncRAT sont déployées à partir de systèmes de clouds publics, un moyen pour les cyberattaquants d’éviter d’avoir à posséder ou à gérer leur propre infrastructure privée payante, explique-t-on du côté Cisco Talos. Les pirates s’appuient notament sur un hébergement “à l’épreuve des balles” qui pourrait éventuellement susciter l’intérêt des forces de l’ordre.

Cet abus permet aux cybercriminels d’exploiter les ressources des services Cloud gérés par des fournisseurs tels que Microsoft Azure et Amazon Web Services (AWS) à des fins malveillantes. “Ces types de services cloud comme Azure et AWS permettent aux attaquants de mettre en place leur infrastructure et de se connecter à Internet avec un minimum de temps ou d’engagement monétaire”, expliquent les chercheurs de Talos. “Cela rend également plus difficile pour les défenseurs de retracer les opérations des attaquants”.

Mercredi, les chercheurs de Cisco Talos Chetan Raghuprasad et Vanja Svajcer ont déclaré qu’une nouvelle campagne basée sur l’infrastructure de cloud public a été découverte en octobre 2021 et que la majorité des victimes sont basées aux États-Unis, au Canada et en Italie – cependant, une poignée semble provenir d’Espagne et de Corée du Sud.

publicité

Une méthodologie rodée

La chaîne d’attaque commence de manière typique : par un e-mail de phishing, souvent déguisé en facture. Ces messages sont accompagnés de fichiers .ZIP qui, une fois ouverts, révèlent une image ISO. Le fichier ISO est équipé d’un chargeur malveillant pour les chevaux de Troie via JavaScript, un fichier batch Windows ou un script Visual Basic.

Si une victime tente de charger l’image disque, ces scripts se déclenchent. Conçus pour déployer Nanocore, Netwire et AsyncRAT, les scripts se connectent à un serveur de téléchargement pour récupérer une charge utile – et c’est là qu’un service de cloud public entre en jeu.

Pourtant les scripts de téléchargement utilisent des techniques d’obscurcissement pour dissimuler ces activités. Le JavaScript contient quatre couches d’obscurcissement, chaque nouveau processus malveillant étant généré après l’épluchage de la couche précédente. Le fichier batch contient des commandes obscurcies qui exécutent PowerShell pour récupérer la charge utile, et le fichier VBScript utilise également des commandes PowerShell.

Vigilance accrue

Un dropper PowerShell construit avec HCrypt a également été détecté. Les attaquants à l’origine de cette campagne gèrent une variété d’hôtes de charge utile, de serveurs de commande et de contrôle (C2) et de sous-domaines malveillants. La majorité des serveurs détectés, jusqu’à présent, sont hébergés sur Azure et AWS. “Certains des serveurs de téléchargement exécutent l’application de serveur web Apache”, indiquent les chercheurs. “Les serveurs HTTP sont configurés pour permettre le référencement de répertoires ouverts qui contiennent des variantes des malwares NanocoreRATs, Netwire RAT et AsyncRATs.”

En outre, les opérateurs abusent de DuckDNS, un service DNS dynamique légitime permettant de pointer des sous-domaines vers des adresses IP. Ce service est utilisé pour gérer les téléchargements de logiciels malveillants via des sous-domaines DuckDNS malveillants et pour masquer les noms des hôtes C2, selon Talos. Netwire, Nanocore et AsyncRAT sont des souches de chevaux de Troie commerciaux populaires qui sont largement utilisés par les acteurs de la menace pour accéder à distance et détourner des machines vulnérables, voler les données des utilisateurs et effectuer une surveillance par des moyens incluant la capture audio et la caméra.

“Les défenseurs doivent surveiller le trafic vers leur organisation et mettre en place des règles robustes autour des politiques d’exécution de scripts sur leurs terminaux”, ont commenté les chercheurs. “Il est encore plus important pour les organisations d’améliorer la sécurité des e-mails afin de détecter et d’atténuer les messages électroniques malveillants et de rompre la chaîne d’infection le plus tôt possible.”

Source : ZDNet.com

Leave a Reply