安全研究人员发现,近日有黑客将脑筋动到公有云头上,利用微软Azure及Amazon Web Services(AWS)来传播远程访问木马(remote access trojan, RAT)程序。
思科旗下Talos Intelligence实验室去年10月底,发现一个不明组织传播Nanocore、Netwire和AsyncRAT的变种。这些变种包含多种功能,可控制受害者计算机、执行远程程序代码及窃取受害者信息。
这波感染行动一开始是黑客发送有恶意ZIP附件的钓鱼信件。这些ZIP附件包含ISO镜像文件及JavaScript、Windows批次或Visual Basic script写成的下载器。当这个script在用户计算机执行后,这个文件就会连到外部下载点,以下载次阶段的恶意程序。这些下载点可被托管在微软Azure上的Windows服务器或是AWS EC2执行实例。而为有效下载次阶段的恶意程序,攻击者还利用免费动态DNS服务DuckDNS注册恶意子域名。
图片来源/思科
研究人员分析,最后下载到用户计算机的恶意程序包括Nanocore、Netwire和AsyncRAT等RAT程序的变种。以其技术能力而言,Nanocore可搜集受害计算机影音资料及远程桌面、Netwire则可远程执行指令以窃取受害者密码、登录凭证及信用卡资料。AsyncRAT则能借由记录键击、录制屏幕、及设置系统组态,以便搜集受害机器的机密资料。
依据恶意子域名的DNS调用分布来判断,这波攻击可能受害者分布在美国、加拿大、意大利及新加坡,此外西班牙及韩国也有零星案例。
研究人员建议企业应时常检查连向云计算服务的对外连接,以侦测可能的恶意活动流量。