[21/01/2022] Cisco Talos ha descubierto una campaña que utiliza proveedores de servicios en la nube pública para propagar malware. La ofensiva es el último ejemplo de actores de amenazas que abusan de servicios en la nube como Microsoft Azure y Amazon Web Services con fines maliciosos, escribieron los investigadores de seguridad Chetan Raghuprasad y Vanja Svajcer en el blog de Talos.
Para camuflar su actividad, los investigadores señalaron que los hackers utilizaron el servicio de DNS dinámico DuckDNS para cambiar los nombres de dominio de los hosts de comando y control utilizados para la campaña, que comenzó a distribuir variantes de Nanocore, Netwire y AsyncRAT a objetivos en Estados Unidos, Italia y Singapur, a partir del 26 de octubre. Estas variantes están dotadas de múltiples funciones para tomar el control de la computadora del objetivo, permitiéndole emitir comandos y robar información.
El ataque comienza con un correo electrónico de phishing que contiene un archivo ZIP envenenado
Los investigadores descubrieron que el vector de infección inicial para los atacantes es un correo electrónico de phishing con un archivo ZIP envenenado. El archivo contiene una imagen ISO con un script malicioso. Cuando el script se ejecuta, se conecta a un servidor, que suele estar alojado en Azure o AWS, para descargar la siguiente etapa del malware.
"Los actores de las amenazas utilizan cada vez más las tecnologías en la nube para lograr sus objetivos sin tener que recurrir al alojamiento de su propia infraestructura", escribieron los investigadores. "Este tipo de servicios en la nube, como Azure y AWS, permiten a los atacantes configurar su infraestructura y conectarse a Internet con un compromiso mínimo de tiempo o dinero. También hace que sea más difícil para los defensores rastrear las operaciones de los atacantes".
El ataque no es nuevo, pero subraya el riesgo de la nube pública
Utilizar la infraestructura de otro para el mando y control del malware no es una práctica nueva, observa Oliver Tavakoli, CTO de Vectra, un proveedor de soluciones de gestión automatizada de amenazas. "En los días anteriores a la nube, este enfoque implicaba entrar en la infraestructura informática de alguien y alojar la distribución de malware y la comunicación C2 desde allí", afirmó. "En la era de las nubes públicas, se puede simplemente alquilar el cómputo en un grupo que tiene una reputación turbia y no puede ser fácilmente puesto en la lista negra".
"Los actores de las amenazas utilizan servicios en la nube bien conocidos en sus campañas porque el público confía pasivamente en que las grandes empresas son seguras", añadió Davis McCarthy,
investigador principal de seguridad de Valtix, un proveedor de servicios de seguridad de red nativos de la nube. "Los defensores de la red pueden pensar que las comunicaciones a una dirección IP propiedad de Amazon o Microsoft son benignas porque esas comunicaciones se producen con mucha frecuencia en una miríada de servicios".
McCarthy recomienda que para protegerse de los ataques basados en CSP, las organizaciones deben crear un inventario de servicios en la nube conocidos y sus comportamientos de comunicación en la red.
La supervisión continua de la actividad de la red con respecto a una línea de base es clave para identificar los riesgos que abren una organización a este tipo de campañas, añade Eric Kedrosky, CSO de Sonrai Security. También aconseja: "No confíes en los viejos controles -cosas como firewall, antivirus y demás-, ya que no son tan eficaces en la nube".
"Una organización debe tener visibilidad de todas las identidades en su nube, especialmente las no humanas y los permisos que tienen todas y cada una de ellas", señaló Kedrosky. "Es fundamental bloquear quién y qué tiene acceso a sus servicios en la nube y qué puede hacer con ellos. Si un atacante se hace con una identidad con demasiados permisos, puede utilizar eficazmente tu nube contra ti y será casi imposible de detectar".
Basado en el artículo de Martin Heller (InfoWorld) y editado por CIO Perú