安全研究人員發(fā)現(xiàn),近日有黑客將腦筋動到公有云頭上�,利用微軟Azure及Amazon Web Services(AWS)來傳播遠(yuǎn)程訪問木馬(remote access trojan,RAT)程序。
安全研究人員發(fā)現(xiàn)��,近日有黑客將腦筋動到公有云頭上�,利用微軟Azure及Amazon Web Services(AWS)來傳播遠(yuǎn)程訪問木馬(remote access trojan,RAT)程序。
思科旗下Talos Intelligence實驗室去年10月底�����,發(fā)現(xiàn)一個不明組織傳播Nanocore����、Netwire和AsyncRAT的變種。這些變種包含多種功能,可控制受害者計算機���、執(zhí)行遠(yuǎn)程程序代碼及竊取受害者信息�����。
這波感染行動一開始是黑客發(fā)送有惡意ZIP附件的釣魚信件。這些ZIP附件包含ISO鏡像文件及JavaScript��、Windows批次或Visual Basic script寫成的下載器���。當(dāng)這個script在用戶計算機執(zhí)行后��,這個文件就會連到外部下載點�,以下載次階段的惡意程序����。這些下載點可被托管在微軟Azure上的Windows服務(wù)器或是AWS EC2執(zhí)行實例。而為有效下載次階段的惡意程序����,攻擊者還利用免費動態(tài)DNS服務(wù)DuckDNS注冊惡意子域名。
圖片來源/思科
研究人員分析��,最后下載到用戶計算機的惡意程序包括Nanocore、Netwire和AsyncRAT等RAT程序的變種����。以其技術(shù)能力而言,Nanocore可搜集受害計算機影音資料及遠(yuǎn)程桌面���、Netwire則可遠(yuǎn)程執(zhí)行指令以竊取受害者密碼���、登錄憑證及信用卡資料。AsyncRAT則能借由記錄鍵擊��、錄制屏幕���、及設(shè)置系統(tǒng)組態(tài)�,以便搜集受害機器的機密資料���。
依據(jù)惡意子域名的DNS調(diào)用分布來判斷��,這波攻擊可能受害者分布在美國�����、加拿大��、意大利及新加坡�����,此外西班牙及韓國也有零星案例���。
研究人員建議企業(yè)應(yīng)時常檢查連向云計算服務(wù)的對外連接�����,以偵測可能的惡意活動流量���。
閩公網(wǎng)安備 35010202001226號
