投稿
  1. 谷达鸭首页
  2. 投稿

黑客利用Azure、AWS服务散布RAT

数码技巧itech 投稿

思科旗下Talos Intelligence实验室去年10月底,发现一个不明组织在网钓攻击行动中,滥用公有云服务散布远程存取木马(RAT)程序

黑客利用Azure、AWS服务散布RAT
这波RAT感染行动一开始是黑客寄送有恶意ZIP附件的钓鱼信件(如右下图所示)。 这些ZIP附件包含ISO映像文件及JavaScript、Windows 批次或Visual Basic script写成的下载器。 当这个script在用户计算机执行后,此文件就会连到外部下载点,以下载次阶段的恶意程序。 这些下载点可被代管在微软Azure上的Windows服务器或是AWS EC2执行个体。 可能受害者分布在美国、加拿大、意大利及新加坡,此外西班牙及韩国也有零星案例,如左上图所示。

安全研究人员发现,近日有黑客将脑筋动到公有云头上,利用微软Azure及Amazon Web Services (AWS)来散布远程访问木马(remote access trojan, RAT)程序。

思科旗下Talos Intelligence实验室去年10月底,发现一个不明组织散布Nanocore、Netwire和AsyncRAT的变种。 这些变种包含多种功能,可控制受害者电脑、执行远程代码及窃取受害者信息。

这波感染行动一开始是黑客寄送有恶意ZIP附件的钓鱼信件。 这些ZIP附件包含ISO映像文件及JavaScript、Windows 批次或Visual Basic script写成的下载器。 当这个script在用户计算机执行后,此文件就会连到外部下载点,以下载次阶段的恶意程序。 这些下载点可被代管在微软Azure上的Windows服务器或是AWS EC2执行个体。 而为有效下载次阶段的恶意程序,攻击者还利用免费动态DNS服务DuckDNS注册恶意子域。

黑客利用Azure、AWS服务散布RAT

研究人员分析,最后下载到用户电脑的恶意程序包括Nanocore、Netwire和AsyncRAT等RAT程序的变种。 以其技术能力而言,Nanocore可搜集受害电脑影音数据及远程桌面、Netwire则可远程执行指令以窃取受害者密码、登入凭证及信用卡资料。 AsyncRAT则能藉由记录键击、录制屏幕、及设定系统配置,以便搜集受害机器的机密资料。

依据恶意子域的DNS呼叫分布来判断,这波攻击可能受害者分布在美国、加拿大、意大利及新加坡,此外西班牙及韩国也有零星案例。

研究人员建议企业应时常检查连向云端服务的对外连线,以侦测可能的恶意活动流量。

(0)
打赏 微信扫一扫 微信扫一扫
数码技巧itech数码技巧itech认证作者
0 0

相关推荐

发表评论

登录后才能评论