https://securityboulevard.com/2022/01/campaign-uses-public-cloud-to-spread-rat-payloads/
悪意のあるものを発見したCiscoTalosの研究者によると、攻撃者はダウンローダースクリプトで複雑な難読化手法を使用することにより、「難読化解除プロセスの各段階で、後続の段階の復号化方法が最終的に実際の悪意のあるダウンローダー方法に到達する」ことを保証します。
「AzureやAWSのようなこれらのタイプのクラウドサービスにより、攻撃者はインフラストラクチャをセットアップし、最小限の時間または金銭的なコミットメントでインターネットに接続できます。また、防御側が攻撃者の操作を追跡することをより困難にします。」
攻撃は、悪意のあるZIPアーカイブファイルが添付されたフィッシングメールから始まります。
攻撃者は、マルウェアペイロードの配信に使用されるDuckDNSを介して、Netwire、Nanocore、またはAsyncRATRATのいずれかの悪意のあるサブドメインをいくつか登録します。
投稿で説明されているキャンペーンは、攻撃者が悪意のあるインフラストラクチャをホストするために人気のあるクラウドプラットフォームの使用をどのように増やしているかを示しています。
彼女は、「セキュリティコントロールをテストするとき、組織は、システムを攻撃する新しい方法を見つけるために、悪意のある攻撃者が既知のTTPを変更するさまざまな方法について考え始める必要があります」とアドバイスしました。
キャンペーンはパブリッククラウドを使用してRATペイロードを分散します、Teri Robinson
security summary
コメント