Crédit : Dreamstime
Une campagne qui utilise une société de cloud public pour diffuser des logiciels malveillants a en fait été trouvé par Cisco Talos. L’offensive est l’exemple le plus récent d’acteurs malveillants abusant de services cloud comme Microsoft Azure et Amazon Web Services pour des fonctions malveillantes, ont écrit les chercheurs en sécurité Chetan Raghuprasad et Vanja Svajcer sur le blog Talos.
Pour camoufler leur activité, le les scientifiques ont gardé à l’esprit que les pirates ont utilisé le service DNS dynamique DuckDNS pour modifier les noms de domaine des hôtes de commande et de contrôle utilisés pour le projet, qui ont commencé à disperser des variantes de Nanocore, Netwire et AsyncRAT vers des cibles aux États-Unis, Italie et Singapour, à partir du 26 octobre environ. Ces variantes sont dotées de multiples fonctions pour prendre le contrôle de l’ordinateur d’une cible, lui permettant d’émettre des commandes et de voler des détails.
L’attaque commence par un e-mail de phishing contenant un fichier ZIP empoisonné
Les scientifiques ont découvert que le vecteur d’infection préliminaire pour les agresseurs est un e-mail de phishing avec une archive ZIP empoisonnée. L’archive comprend une image ISO avec un script malveillant. Lorsque le script s’exécute, il se connecte à un serveur, qui est normalement hébergé sur Azure ou AWS, pour télécharger la phase suivante du logiciel malveillant.
» Les stars du danger utilisent de plus en plus les technologies cloud pour atteindre leurs objectifs sans ayant besoin de recourir à l’hébergement de leurs propres installations », ont écrit les chercheurs. » Ces types de services cloud comme Azure et AWS permettent aux agresseurs d’établir leur infrastructure et de se connecter à Internet avec un minimum de temps ou d’engagements monétaires. Il est également plus difficile pour les protecteurs de traquer les opérations des ennemis. «
L’attaque n’est pas nouvelle, mais souligne le danger du cloud public
Utiliser les installations d’une autre personne pour la commande et le contrôle des logiciels malveillants n’est pas une pratique nouvelle, observe Oliver Tavakoli, CTO de Vectra, un fournisseur de solutions automatisées de gestion des risques. « À l’époque pré-cloud, cette méthode impliquait d’accéder aux installations de calcul de quelqu’un et d’héberger la distribution de logiciels malveillants et la communication C2 à partir de là », déclare-t-il. » À l’ère des clouds publics, vous pouvez simplement louer le calcul dans une piscine qui a une réputation trouble et ne peut pas être rapidement mise sur liste noire. «
» Les stars du risque utilisent des services cloud bien connus dans leurs campagnes en raison du fait que le public fait passivement confiance à d’énormes entreprises pour être protégées « , comprend Davis McCarthy,
un chercheur principal en sécurité chez Valtix, un fournisseur de services de sécurité réseau natifs du cloud. » Les protecteurs de réseau pourraient croire que les interactions avec une adresse IP détenue par Amazon ou Microsoft sont bénignes, car ces interactions ont lieu si souvent sur une myriade de services. «
McCarthy conseille que pour se prémunir contre les attaques basées sur CSP, les organisations doit développer un inventaire des services cloud connus et de leurs comportements de communication réseau.
La surveillance continue de l’activité réseau par rapport à une norme est essentielle pour déterminer les dangers qui ouvrent une organisation à ce type de campagnes, ajoute Eric Kedrosky, CSO de Sécurité Sonrai. Il a également encouragé : » Ne vous fiez pas aux anciens contrôles, tels que les programmes de pare-feu, les antivirus, etc., car ils ne sont pas aussi fiables dans le cloud. «
» Une organisation devrait avoir visibilité sur toutes les identités de son nuage, en particulier les non-humaines et les consentements que chacun a », déclare Kedrosky. » Il est fondamental de verrouiller qui et quoi a accès à vos services cloud et ce qu’ils peuvent en faire. Si un agresseur met la main sur une identité sur-autorisée, il peut utiliser efficacement votre cloud contre vous et ce sera presque impossible à identifier. «
Toute l’actualité en temps réel, est sur L’Entrepreneur
