четверг, 5 марта 2020 г.

Атака «Cloud Snooper» обходит средства управления брандмауэром AWS!




Недавно обнаруженная целевая атака которая использовала руткит для проникновения вредоносного трафика через AWS и локальные брандмауэры организации жертвы и переноса трояна удаленного доступа (RAT) на его облачные серверы.

Исследователи из Sophos обнаружили атаку, осматривая зараженные серверы облачной инфраструктуры на базе Linux и Windows EC2, работающие в Amazon Web Services (AWS). Атака, которая, по словам Софоса, является, скорее всего, делом рук государственных структур, использует руткит, который не только дает злоумышленникам удаленный контроль над серверами, но и обеспечивает канал связи для вредоносных программ с их серверами управления и контроля. Согласно Sophos, руткит также позволял серверам C2 удаленно управлять серверами, физически расположенными в организации.



«Политика брандмауэра не была небрежной, но она могла бы быть и лучше», - сказал Чет Вишневски, главный исследователь Sophos. Злоумышленники скрывали свою активность, скрывая ее в трафике HTTP и HTTPS. «Вредоносное ПО было достаточно сложным, чтобы его было трудно обнаружить даже при жесткой политике безопасности», - сказал он. «Это был волк в овечьей шкуре ... сливался с существующим трафиком».

Sophos отказался раскрыть атакованную организацию, но сказал, что атака, по-видимому, является кампанией по достижению конечных целей через цепочку поставок - причем это всего лишь одна из жертв. Непонятно, кто стоит за атакой, но RAT основан на исходном коде Gh0st RAT, инструмента, связанного с китайскими разработчиками. Sophos также нашел некоторые отладочные сообщения на китайском языке.

Похоже, что злоумышленники повторно используют одну и ту же RAT для серверов Linux и Windows. «Мы наблюдали, как Linux RAT общается с одним сервером, а Windows - с другим управляющим сервером, поэтому мы не уверены, что это даже одна и та же инфраструктура», - сказал Вишневский. С2 был снят, отметил он.

Непонятно, каким образом злоумышленники изначально проникли в сеть жертвы, но Sophos предполагает одну возможность - это проникновение на сервер через SSH. У них также нет большого количества информации о рутките, например о том, каким портом он злоупотреблял, и они не знают наверняка, что им было нужно. «Скорее всего, это атака цепочки поставок, нацеленная на эту организацию, чтобы получить всех их клиентов или заказчиков», - сказал Вишневски.



Один из редких аспектов атаки: он был нацелен на Linux с помощью руткита, который назывался Snoopy. «Они отбросили часть руткита с драйверами и назвали его Snoopy. Если бы он назывался допустимым именем файла на Linux-коробке, мы бы, наверное, этого не заметили», - сказал Вишневский. К тому же вредоносное ПО для Linux на сегодняшний день встречается относительно редко, в основном с криптоджеками, добавил он.
Методы Cloud Snooper на данный момент кажутся редкими, но, как и многие подобные уникальные атаки, их подражание - лишь вопрос времени. «Каждый раз, когда мы видим что-то, совершаемое в ходе целенаправленной атаки, обычно через пару лет киберпреступники [применяют аналогичную тактику]», - сказал Вишневский.

«Этот случай чрезвычайно интересен, поскольку он демонстрирует истинный мультиплатформенный характер современной атаки», - написал исследователь Sophos Сергей Шевченко в техническом отчете компании по Cloud Snooper.

Sophos рекомендует развернуть функцию пограничного брандмауэра AWS, полностью исправив серверы, выходящие в Интернет, и укрепить серверы SSH для защиты от Cloud Snooper.




Комментариев нет:

Отправить комментарий