Les attaquants exploitent les services cloud pour déployer Nanocore, Netwire et AsyncRAT

  • FrançaisFrançais



  • Depuis le début de la numérisation, le nombre d’organisations qui se tournent vers le cloud computing a considérablement augmenté. La plupart des entreprises exploitent plusieurs environnements cloud pour héberger leurs infrastructures informatiques critiques, une cible principale des cybercriminels. Les experts en cybersécurité de Cisco Talos ont récemment découvert une campagne de cyberespionnage exploitant activement des services de cloud public comme Microsoft Azure et Amazon Web Services pour déployer plusieurs chevaux de Troie d’accès à distance (RAT) comme Nanocore, AsyncRAT et Netwire.

    Depuis octobre 2021, la campagne ciblait principalement des organisations au Canada, aux États-Unis, en Italie et à Singapour. Les attaquants auraient volé des informations sensibles des systèmes compromis.

    “Ces variantes d’outils d’administration à distance (RAT) sont dotées de multiples fonctionnalités pour prendre le contrôle de l’environnement de la victime afin d’exécuter des commandes arbitraires à distance et de voler les informations de la victime. L’acteur de la menace, dans ce cas, a utilisé des services cloud pour déployer et fournir des variantes de RAT de base avec une capacité de vol d’informations », ont déclaré les chercheurs.

    Chaîne d’infection

    La chaîne d’infection commence par un e-mail de harponnage contenant une pièce jointe de fichier ZIP malveillante. Le fichier ZIP contient une image ISO contenant le chargeur en JavaScript, un script Visual Basic ou un format de fichier batch Windows. Les pirates invitent les utilisateurs à ouvrir la pièce jointe en l’imitant comme un document de facturation.

    Lisez également : Plus de 300 000 utilisateurs touchés par 4 troyens bancaires Android

    Une fois qu’une victime télécharge la pièce jointe, le script initial sera exécuté sur l’appareil et se connectera automatiquement à un serveur de téléchargement pour installer l’étape suivante. Les opérateurs à l’origine de cette campagne ont maintenu une infrastructure distribuée composée de serveurs de téléchargement, de serveurs de commande et de contrôle et de sous-domaines malveillants pour distribuer la charge utile des logiciels malveillants.

    Indicateurs de compromis (IOC)

    Certains des noms de fichiers ZIP observés incluent :

    • WROOT_Invoice_Copy.zip
    • YUEOP_Invoice_Copy.zip
    • HOO8M_Invoice_Copy.zip
    • TROOS_Invoice_Copy.zip
    • TBROO1_Invoice_Copy.zip

    « Les entreprises doivent déployer des contrôles de sécurité multicouches complets pour détecter des menaces similaires et protéger leurs actifs. Les défenseurs doivent surveiller le trafic vers leur organisation et mettre en œuvre des règles robustes autour des politiques d’exécution de script sur leurs points de terminaison. Il est encore plus important pour les organisations d’améliorer la sécurité des e-mails afin de détecter et d’atténuer les e-mails malveillants et de briser la chaîne d’infection le plus tôt possible », ont ajouté les chercheurs.

    Source

    L'équipe de Comparaland

    Rédacteur web depuis 2009 et webmestre depuis 2011.

    Je m'intéresse à tous les sujets comme la politique, la culture, la géopolitique, l'économie ou la technologie. Toute information permettant d'éclairer mon esprit et donc, le vôtre, dans un monde obscur et à la dérive. Je suis l'auteur de plusieurs livre

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *