MŨ ĐEN CHÂU ÂU 2022 – Luân Đôn – đồng xudậm chân. Cơ quan giám sát. Denonia.
Các chiến dịch tấn công mạng này là một trong những mối đe dọa phổ biến nhất hiện nay nhắm vào các hệ thống đám mây — và khả năng tránh bị phát hiện của chúng sẽ đóng vai trò như một câu chuyện cảnh báo về các mối đe dọa tiềm tàng sắp tới, một nhà nghiên cứu bảo mật đã trình bày chi tiết tại đây hôm nay.
“Các chiến dịch phần mềm độc hại tập trung vào đám mây gần đây đã chứng minh rằng các nhóm đối thủ có kiến thức sâu sắc về công nghệ đám mây và cơ chế bảo mật của chúng. Và không chỉ vậy, họ đang sử dụng điều đó để tạo lợi thế cho mình,” Matt Muir, kỹ sư tình báo mối đe dọa của Cado Security, người đã chia sẻ chi tiết về ba chiến dịch mà nhóm của ông đã nghiên cứu, cho biết.
Mặc dù ba chiến dịch tấn công đều là về khai thác tiền điện tử vào thời điểm này, nhưng một số kỹ thuật của chúng có thể được sử dụng cho các mục đích bất chính hơn. Và phần lớn, những cuộc tấn công này và các cuộc tấn công khác mà nhóm của Muir đã thấy là khai thác các cài đặt đám mây được định cấu hình sai và các lỗi khác. Theo Muir, điều đó phần lớn có nghĩa là phòng thủ chống lại họ đổ bộ vào trại khách hàng đám mây.
Muir nói với Dark Reading: “Thực tế đối với những kiểu tấn công này, nó liên quan nhiều đến người dùng hơn là nhà cung cấp dịch vụ [đám mây]. “Họ rất cơ hội. Ông nói, phần lớn các cuộc tấn công mà chúng tôi thấy có liên quan nhiều hơn đến sai lầm” của khách hàng trên đám mây.
Ông nói: Có lẽ sự phát triển thú vị nhất với các cuộc tấn công này là chúng hiện đang nhắm mục tiêu vào máy tính không có máy chủ và vùng chứa. “Mức độ dễ dàng xâm phạm tài nguyên đám mây đã khiến đám mây trở thành mục tiêu dễ dàng,” anh ấy nói trong bài thuyết trình của mình, “Kỹ thuật trốn tránh phát hiện trong thế giới thực trong đám mây".
DoH, đó là một công cụ khai thác tiền điện tử
Phần mềm độc hại Denonia nhắm mục tiêu vào môi trường không có máy chủ AWS Lambda trên đám mây. Muir cho biết: “Chúng tôi tin rằng đây là mẫu phần mềm độc hại được tiết lộ công khai đầu tiên nhằm vào các môi trường không có máy chủ. Mặc dù bản thân chiến dịch là về khai thác tiền điện tử, nhưng những kẻ tấn công sử dụng một số phương pháp kiểm soát và chỉ huy nâng cao cho thấy chúng đã được nghiên cứu kỹ lưỡng về công nghệ đám mây.
Những kẻ tấn công Denonia sử dụng một giao thức triển khai DNS qua HTTPS (còn gọi là DoH), giao thức này sẽ gửi các truy vấn DNS qua HTTPS tới các máy chủ phân giải dựa trên DoH. Điều đó mang lại cho những kẻ tấn công một cách để ẩn trong lưu lượng được mã hóa để AWS không thể xem các tra cứu DNS độc hại của chúng. “Đây không phải là phần mềm độc hại đầu tiên sử dụng DoH, nhưng nó chắc chắn không phải là trường hợp phổ biến,” Muir nói. Ông nói: “Điều này ngăn phần mềm độc hại kích hoạt cảnh báo” với AWS.
Những kẻ tấn công dường như cũng đã tung ra nhiều trò tiêu khiển hơn để đánh lạc hướng hoặc gây nhầm lẫn cho các nhà phân tích bảo mật, hàng nghìn dòng chuỗi yêu cầu HTTPS của tác nhân người dùng.
“Lúc đầu, chúng tôi nghĩ rằng đó có thể là một mạng botnet hoặc DDoS… nhưng trong phân tích của chúng tôi, nó không thực sự được sử dụng bởi phần mềm độc hại” và thay vào đó là một cách đệm tệp nhị phân để trốn tránh các công cụ phát hiện và phản hồi điểm cuối (EDR) và phân tích phần mềm độc hại , anh ấy nói.
Nhiều tiền điện tử hơn với CoinStomp và Watchdog
CoinStomp là phần mềm độc hại dựa trên đám mây nhắm mục tiêu đến các nhà cung cấp bảo mật đám mây ở châu Á cho mục đích đánh cắp tiền điện tử. chính của nó modus operandi là thao tác dấu thời gian như một kỹ thuật chống pháp y, cũng như loại bỏ các chính sách mã hóa hệ thống. Nó cũng sử dụng họ C2 dựa trên shell đảo ngược dev/tcp để hòa trộn vào môi trường Unix của hệ thống đám mây.
Cơ quan giám sáttrong khi đó, đã xuất hiện từ năm 2019 và là một trong những nhóm đe dọa tập trung vào đám mây nổi bật hơn, Muir lưu ý. “Họ có cơ hội khai thác cấu hình sai của đám mây, [phát hiện những lỗi đó] bằng cách quét hàng loạt.”
Những kẻ tấn công cũng dựa vào kỹ thuật ghi mật mã kiểu cũ để tránh bị phát hiện, ẩn phần mềm độc hại của chúng sau các tệp hình ảnh.
Muir kết luận: “Chúng tôi đang ở một điểm thú vị trong nghiên cứu phần mềm độc hại trên đám mây. “Các chiến dịch vẫn còn thiếu một chút tính kỹ thuật, đó là tin tốt cho các hậu vệ.”
Nhưng còn nhiều điều nữa sẽ đến. Muir cho biết: “Các tác nhân đe dọa đang trở nên tinh vi hơn” và có khả năng sẽ chuyển từ khai thác tiền điện tử sang các cuộc tấn công gây thiệt hại nhiều hơn.
