Se ha descubierto una campaña maliciosa que propaga variantes de NetWire, Nanocore y AsyncRAT mientras utiliza la infraestructura de la nube pública para alojarlas. La campaña ha estado activa desde octubre de 2021.
El abuso de los servicios de la nube pública
Cisco Talos descubrió que el grupo de hackers utiliza la nube pública, incluyendo Microsoft y Amazon, para alojar su malware y comprometer el DNS dinámico para actividades C2.
- Los ataques de spear-phishing se dirigían principalmente a entidades con sede en países como Estados Unidos, Italia, Singapur y Canadá, aunque también se vieron algunos objetivos en España y Corea del Sur. El objetivo era robar información sensible.
- Este tipo de campañas suelen comenzar con un correo electrónico de phishing con temática de facturas cargado con un archivo ZIP adjunto.
- Al acceder a la descarga de los payloads alojados en una instancia de AWS EC2 o en un servidor Azure, se despliegan diferentes RAT, como AsyncRAT, Nanocore y NetWire.
Complejo comportamiento de ocultación
Los atacantes han utilizado un código complejo y han asegurado el malware utilizando varias capas de ofuscación.
- Los investigadores tuvieron que desenmascarar capa por capa para revelar la carga útil de la siguiente etapa y así llegar a las cargas útiles finales.
- Además, los atacantes utilizaban la nube pública como mecanismo de ocultación para evitar ser detectados por las soluciones de seguridad.
Información adicional
- Las RAT pueden utilizarse para obtener acceso no autorizado a datos sensibles, que pueden ser monetizados para otros ataques.
- Los atacantes utilizaron un servicio de DNS dinámico gratuito, DuckDNS, para crear subdominios para la entrega de malware.
- Algunos subdominios se utilizan como servidores de descarga, mientras que los otros servidores funcionan como C2 para las cargas útiles de las RAT.
Conclusión
La técnica de ofuscación en varias capas pone de manifiesto la complejidad con la que operan los ciberdelincuentes. También subraya la tendencia de que los ciberdelincuentes buscan y adoptan cada vez más formas innovadoras de ocultar su malware. El abuso de los servicios de la nube pública es un ejemplo reciente de esta tendencia, que se espera que siga creciendo en un futuro próximo.