Serangan spear-phishing, yang dimulai pada Oktober 2021, terutama menargetkan entitas yang berlokasi di AS, Kanada, Italia, dan Singapura, kata peneliti dari Cisco Talos dalam sebuah laporan yang dibagikan kepada The Hacker News.
Menggunakan infrastruktur sah yang ada untuk memfasilitasi intrusi semakin menjadi bagian dari pedoman penyerang karena meniadakan kebutuhan untuk meng-host server mereka sendiri, belum lagi digunakan sebagai mekanisme penyelubungan untuk menghindari deteksi oleh solusi keamanan.
Dalam beberapa bulan terakhir, alat kolaborasi dan komunikasi seperti Discord, Slack, dan Telegram telah menemukan tempat di banyak rantai infeksi untuk mengambil alih dan mengekstrak data dari mesin korban. Dilihat dari sudut pandang itu, penyalahgunaan platform cloud adalah ekstensi taktis yang dapat dimanfaatkan penyerang sebagai langkah pertama ke berbagai jaringan.
"Ada beberapa aspek menarik dari kampanye khusus ini, dan ini menunjukkan beberapa hal yang biasa kita lihat digunakan dan disalahgunakan oleh aktor jahat," Nick Biasini, kepala penjangkauan di Cisco Talos, mengatakan kepada The Hacker News melalui email.
"Dari penggunaan infrastruktur cloud untuk menghosting malware hingga penyalahgunaan DNS dinamis untuk aktivitas command-and-control (C2). Selain itu, lapisan kebingungan menunjukkan keadaan saat ini dari aktivitas kriminal dunia maya, di mana dibutuhkan banyak analisis untuk turun ke muatan terakhir dan niat serangan."
Seperti banyak dari jenis kampanye ini, semuanya dimulai dengan email phishing bertema faktur yang berisi lampiran file ZIP yang, ketika dibuka, memicu urutan serangan yang mengunduh muatan tahap berikutnya yang dihosting di server Windows berbasis Azure Cloud atau Instans AWS EC2, yang pada akhirnya berpuncak pada penerapan RAT yang berbeda, termasuk AsyncRAT, Nanocore, dan Netwire.
Trojan, setelah diinstal, tidak hanya dapat digunakan untuk mendapatkan akses tidak sah ke data rahasia, tetapi juga dapat digunakan oleh penyerang untuk memonetisasi akses ke sistem yang disusupi untuk serangan lanjutan lebih lanjut oleh afiliasi ransomware dan kelompok kejahatan dunia maya lainnya.
Yang juga patut diperhatikan adalah penggunaan DuckDNS, layanan DNS dinamis gratis, untuk membuat subdomain berbahaya untuk mengirimkan malware, dengan beberapa subdomain berbahaya yang dikendalikan aktor menyelesaikan ke server unduhan di Azure Cloud sementara server lain dioperasikan sebagai C2 untuk muatan RAT .
"Aktor jahat bersifat oportunistik dan akan selalu mencari cara baru dan inventif untuk menampung malware dan menginfeksi korban," kata Biasini. "Penyalahgunaan platform seperti Slack dan Discord serta penyalahgunaan cloud terkait adalah bagian dari pola ini. Kami juga sering menemukan situs web yang disusupi digunakan untuk meng-host malware dan infrastruktur lainnya juga dan sekali lagi menunjukkan fakta bahwa musuh ini akan menggunakan segala cara untuk mengkompromikan para korban."
