Оставьте заявку
Наш эксперт свяжется с вами в ближайшее время
Нажимая на кнопку "Отправить" вы соглашаетесь с Политикой конфиденциальности
Cхема похищения данных, использующая облачные сервисы Azure и AWS
По информации из статьи на ThreatPost, исследователи обнаружили 3 трояна удаленного доступа (RAT – Remote Access Trojan), передаваемые посредством веб-сервисов Amazon (AWS) и облачных сервисов Azure. Все они направлены на сбор конфиденциальной информации.
Как и большинство современных кибератак, эта начинается с фишингового электронного письма, содержащего архив с вредоносом. Заражение устройства происходит в два этапа: сначала устанавливается загрузчик из архива, приложенного к письму, а тот уже через выполняет подключение к облаку Azure или AWS EC2 для выполнения второй части сценария. Подобный метод атаки позволил максимально усложнить обнаружения вредоносных действий: основной загрузчик применял многоуровневую технику деобфускации, а использование известных облачных сервисов обеспечило доверие пользователей к исполняемому сценарию и позволило мошенникам сэкономить на настройке собственной инфраструктуры.
Немного о самих "крысах":
AsyncRAT используется для удаленного мониторинга и управления компьютерами через безопасное зашифрованное соединение с сервером C2. Он также имеет такие функции, как кейлоггер, средство записи экрана и менеджер конфигурации системы, позволяющие украсть конфиденциальные данные с компьютера жертвы.
NetwireRAT используется для кражи паролей, учетных данных для входа и данных кредитных карт. Он также имеет возможность удаленно выполнять команды и собирать информацию о файловой системе.
Nanocore это 32-разрядный портативный исполняемый файл .NET. Впервые появилась в 2013 году. Версия, используемая в описанной кампании содержит два подключаемых модуля: Client и SurveillanceEx. Первый обрабатывает связь с сервером C2; а второй захватывает видео и аудио, а также отслеживает активность удаленного рабочего стола.
Как и большинство современных кибератак, эта начинается с фишингового электронного письма, содержащего архив с вредоносом. Заражение устройства происходит в два этапа: сначала устанавливается загрузчик из архива, приложенного к письму, а тот уже через выполняет подключение к облаку Azure или AWS EC2 для выполнения второй части сценария. Подобный метод атаки позволил максимально усложнить обнаружения вредоносных действий: основной загрузчик применял многоуровневую технику деобфускации, а использование известных облачных сервисов обеспечило доверие пользователей к исполняемому сценарию и позволило мошенникам сэкономить на настройке собственной инфраструктуры.
Немного о самих "крысах":
AsyncRAT используется для удаленного мониторинга и управления компьютерами через безопасное зашифрованное соединение с сервером C2. Он также имеет такие функции, как кейлоггер, средство записи экрана и менеджер конфигурации системы, позволяющие украсть конфиденциальные данные с компьютера жертвы.
NetwireRAT используется для кражи паролей, учетных данных для входа и данных кредитных карт. Он также имеет возможность удаленно выполнять команды и собирать информацию о файловой системе.
Nanocore это 32-разрядный портативный исполняемый файл .NET. Впервые появилась в 2013 году. Версия, используемая в описанной кампании содержит два подключаемых модуля: Client и SurveillanceEx. Первый обрабатывает связь с сервером C2; а второй захватывает видео и аудио, а также отслеживает активность удаленного рабочего стола.
Другие материалы