به تازگی Cisco Talos یک کارزار جدید را که از محصولات مبتنی بر فناوری ابری برای گسترش بدافزار استفاده میکند شناسایی نموده است. این حرکت، جدیدترین نمونه سوءاستفاده از سرویسهای ابر مثل مایکروسافت آژور و وب سرویسهای آمازون برای دستیابی به مقاصد مخرب است.
بنا به گفته محققان، مهاجمان برای پوشش فعالیتهای خودشان از سرویس DNS پویای DuckDNS استفاده نموده و نام دامنه میزبانهای فرماندهی و کنترل مورد استفاده در کارزار مخربشان را تغییر میدهند. این حملات سیستمهای بسیار زیادی را در آمریکا، ایتالیا و سنگاپور مورد هدف قرار داده و بدافزارهای مختلفی از جمله Nanocore، Netwire و AsyncRAT را در آنها منتشر میکردند. این بدافزارها قابلیتهایی مثل امکان کنترل بر روی رایانه هدف را برای مهاجمان فراهم میکردند. به این ترتیب آنها میتوانستند بهراحتی اطلاعات مدنظرشان را سرقت نموده و فرمانهای دلخواه خود را اجرا کنند.
شروع حمله با ایمیلهای فیشینگ
محققان متوجه شدهاند که مسیر آلودهسازی در این حملات، یک ایمیل فیشینگ حاوی یک آرشیو ZIP بوده که شامل تصاویر ISO و یک اسکریپت مخرب بودند. وقتی این اسکریپت اجرا شود، به یک سرور بر روی AWS یا آژور متصل شده و بخش بعدی بدافزار را دانلود میکند.
بنا به گفته محققان، مهاجمان همواره از فناوریهای ابری برای دسترسی به اهداف خودشان استفاده میکنند تا نیازی به میزبانی زیرساختهای اختصاصی خودشان نداشته باشند. چنین سرویسهای ابری مثل آژور و AWS به مهاجمان امکان میدهند که با کمترین هزینه و زمان زیرساخت خودشان را آماده نموده و به اینترنت متصل کنند. اجرای چنین رویکردی از مجرمان سایبری در برابر راهکارهای دفاعی محافظت میکند. به این ترتیب هکرها میتوانند بهراحتی فعالیتهایشان را انجام دهند.
حملاتی که جدید نیستند، اما خطر محیط ابر عمومی را نشان میدهند
براساس گفته Oliver Tavakoli مدیر ارشد فناوری شرکت Vectra، ارایهدهنده راهکارهای مدیریت تهدید خودکار: « استفاده از زیرساختهای سایر کاربران برای فرماندهی و کنترل بدافزار حرکت جدیدی نیست. پیش از حرکت گسترده سازمانها به سرویسهای ابری، این رویکرد شامل نفوذ به زیرساخت رایانهای افراد و میزبانی ارتباطات مربوط به توزیع بدافزار و فرماندهی و کنترل در آنجا بود. در عصر ابر عمومی، میتوانید قدرت محاسباتی را از برندهای معتبر که به راحتی وارد فهرست سیاه نمیشوند اجاره کنید.
Davis McCarthy محقق امنیت سایبری شرکت ارایهدهنده خدمات امنیت شبکه Valtix میگوید: «با توجه به اعتمادی که به امنیت شرکتهای بزرگ وجود دارد، مهاجمان از سرویسهای ابر شناخته شده در کارزارهای خودشان سوءاستفاده میکنند. از آنجا که ارتباط با آیپیهای متعلق به شرکتهای آمازون یا مایکروسافت در سرویسهای مختلف زیاد رخ میدهد، ممکن است کارشناسان تصور کنند که این ارتباطات بی خطر و سالم هستند».
McCarthy به سازمانها توصیه میکند که برای مقابله با چنین حملاتی فهرستی از سرویسهای ابر شناخته شده و رفتارهای ارتباطی شبکه خودشان داشته باشند.
Eric Kedrosky مدیر ارشد امنیت شرکت Sonrai Security میگوید: «نظارت پیوسته بر روی فعالیتهای شبکه و مقایسه آن با یک خط مبنای از پیش تعیین شده، اهمیت بسیار زیادی برای شناسایی چنین کارزارهایی دارد. به کنترلهای قدیمی مثل فایروال، آنتی ویروس و امثال آنها متکی نباشید چون در محیط ابر کارایی چندان زیادی ندارند».
بنا به گفته Kedrosky: «سازمانها باید بر روی هویتهای مربوط به کلیه کاربران در محیطهای ابری به خصوص هویتهای غیرانسانی و مجوزهای آنها نظارت کامل داشته باشند. محدودسازی هویتهای مجاز و اقدامات قابل انجام بر روی سرویسهای ابر خودکار امری ضروری است. اگر مهاجمی حسابی با دسترسیهای گسترده را در اختیار بگیرد، امکان استفاده از محیط ابر شما بر ضد شما را خواهد داشت و شناسایی آن تقریباً غیرممکن خواهد بود».
منبع: csoonline