Nanocore, Netwire, AsyncRAT 배포에 클라우드 서비스 악용돼

Hackers Use Cloud Services to Distribute Nanocore, Netwire, and AsyncRAT Malware

 

공격자가 악성 캠페인에 아마존 및 마이크로소프트의 공개 클라우드 서비스를 악용해 Nanocore, Netwire, AsyncRAT와 같은 원격 액세스 트로이 목마(RAT)를 배포해 해킹된 시스템에서 민감 정보를 훔치고 있는 것으로 나타났습니다.

 

Cisco Talos의 연구원들은 보고서에서 2021년 10월에 시작된 이 스피어 피싱 공격이 주로 미국, 캐나다, 이탈리아, 싱가포르에 위치한 기업을 타깃으로 삼았다고 밝혔습니다.

 

침입 시 기존 인프라를 사용하는 것은 보안 솔루션의 탐지를 피하기 위한 은폐 메커니즘이 될 수 있으며, 자체적으로 서버를 호스팅할 필요가 없기 때문에 점점 더 많은 공격자들이 이를 악용하고 있습니다.

 

최근 몇 달 동안 많은 공격에 Discord, Slack, Telegram과 같은 협업 및 커뮤니케이션 툴이 악용되어 명령을 전달하고 피해자의 기기로부터 데이터를 훔쳤습니다.

 

이로써 클라우드 플랫폼 악용은 공격자가 방대한 네트워크 배열에 침투하기 위해 첫번째로 악용할 수 있는 전략으로 확장되었습니다.

 

 

<이미지 출처: https://blog.talosintelligence.com/2022/01/nanocore-netwire-and-asyncrat-spreading.html>

 

 

Cisco Talos의 홍보 책임자인 Nick Biasini는 The Hacker News 측에 아래와 같이 밝혔습니다.

 

"이 캠페인에서는 흥미로운 점 몇 가지를 찾아볼 수 있었으며, 이들은 사용자들이 흔히 사용하지만 악성 공격자가 악용하는 몇 가지 요소를 가리켰습니다.”

 

"이들은 클라우드 인프라를 통해 악성코드를 호스팅하고, 명령 및 제어(C2) 활동을 위해 동적 DNS를 악용했습니다. 또한 난독화 계층은 범죄 사이버 활동의 현재 상태를 가리키기 때문에 최종 페이로드를 다운시키고 공격의 의도를 파악하기 위해 많은 분석이 필요합니다.”

 

이는 다른 많은 캠페인과 마찬가지로 ZIP 파일이 첨부된 인보이스 테마 피싱 이메일로 시작됩니다. 이 이메일이 오픈되면 Azure 클라우드 기반 윈도우 서버 또는 AWS EC2 인스턴스에서 호스팅되는 다음 단계 페이로드를 다운로드하는 공격 시퀀스를 촉발시켜 결국 AsyncRAT, Nanocore, Netwire를 포함한 다양한 RAT이 배포됩니다.

 

또한 주목할만한 점은 무료 동적 DNS 서비스인 DuckDNS를 사용하여 악성 하위 도메인을 생성한 후 악성코드를 전달한다는 것입니다. 일부 공격자가 제어하는 ​​악성 하위 도메인은 Azure Cloud의 다운로드 서버로 해석되는 반면, 다른 서버는 RAT 페이로드용 C2로 운영됩니다. .

 

Biasini는 아래와 같이 결론지었습니다.

 

"악성 공격자는 항상 기회를 노리고 있습니다. 이들은 계속해서 악성코드를 호스팅하고 피해자를 감염시키는 새롭고 독창적인 방법을 찾을 것입니다.”

 

"이러한 패턴의 일부는 바로 Slack 및 Discord와 같은 플랫폼 악용입니다. 또한 해킹된 웹사이트가 악성코드 및 기타 인프라를 호스팅하는 데 흔히 사용되는 것을 발견했습니다. 공격자들은 피해자를 공격하기 위해 모든 수단을 동원할 것입니다.”

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Heur.BZC.PZQ.Boxter.791.1A3C1114’로 탐지 중입니다.

 

 

 

 

출처:

https://thehackernews.com/2022/01/hackers-use-cloud-services-to.html

https://blog.talosintelligence.com/2022/01/nanocore-netwire-and-asyncrat-spreading.html (IOC)