安全研究人員發(fā)現(xiàn),近日有黑客將腦筋動(dòng)到公有云頭上,利用微軟Azure及Amazon Web Services(AWS)來(lái)傳播遠(yuǎn)程訪問(wèn)木馬(remote access trojan,RAT)程序�。
安全研究人員發(fā)現(xiàn)�,近日有黑客將腦筋動(dòng)到公有云頭上,利用微軟Azure及Amazon Web Services(AWS)來(lái)傳播遠(yuǎn)程訪問(wèn)木馬(remote access trojan,RAT)程序�。
思科旗下Talos Intelligence實(shí)驗(yàn)室去年10月底���,發(fā)現(xiàn)一個(gè)不明組織傳播Nanocore、Netwire和AsyncRAT的變種���。這些變種包含多種功能��,可控制受害者計(jì)算機(jī)���、執(zhí)行遠(yuǎn)程程序代碼及竊取受害者信息。
這波感染行動(dòng)一開(kāi)始是黑客發(fā)送有惡意ZIP附件的釣魚(yú)信件����。這些ZIP附件包含ISO鏡像文件及JavaScript、Windows批次或Visual Basic script寫(xiě)成的下載器����。當(dāng)這個(gè)script在用戶計(jì)算機(jī)執(zhí)行后,這個(gè)文件就會(huì)連到外部下載點(diǎn)����,以下載次階段的惡意程序。這些下載點(diǎn)可被托管在微軟Azure上的Windows服務(wù)器或是AWS EC2執(zhí)行實(shí)例�����。而為有效下載次階段的惡意程序,攻擊者還利用免費(fèi)動(dòng)態(tài)DNS服務(wù)DuckDNS注冊(cè)惡意子域名����。
圖片來(lái)源/思科
研究人員分析,最后下載到用戶計(jì)算機(jī)的惡意程序包括Nanocore����、Netwire和AsyncRAT等RAT程序的變種。以其技術(shù)能力而言���,Nanocore可搜集受害計(jì)算機(jī)影音資料及遠(yuǎn)程桌面�����、Netwire則可遠(yuǎn)程執(zhí)行指令以竊取受害者密碼、登錄憑證及信用卡資料����。AsyncRAT則能借由記錄鍵擊、錄制屏幕�、及設(shè)置系統(tǒng)組態(tài),以便搜集受害機(jī)器的機(jī)密資料����。
依據(jù)惡意子域名的DNS調(diào)用分布來(lái)判斷����,這波攻擊可能受害者分布在美國(guó)�����、加拿大�����、意大利及新加坡�����,此外西班牙及韓國(guó)也有零星案例���。
研究人員建議企業(yè)應(yīng)時(shí)常檢查連向云計(jì)算服務(wù)的對(duì)外連接���,以偵測(cè)可能的惡意活動(dòng)流量。
閩公網(wǎng)安備 35010202001226號(hào)
