Недавно
обнаруженная целевая атака которая использовала руткит для проникновения
вредоносного трафика через AWS и локальные брандмауэры организации жертвы и
переноса трояна удаленного доступа (RAT) на его облачные серверы.
Исследователи
из Sophos обнаружили атаку, осматривая зараженные серверы облачной
инфраструктуры на базе Linux и Windows EC2, работающие в Amazon Web Services
(AWS). Атака, которая, по словам Софоса, является, скорее всего, делом рук
государственных структур, использует руткит, который не только дает
злоумышленникам удаленный контроль над серверами, но и обеспечивает канал связи
для вредоносных программ с их серверами управления и контроля. Согласно Sophos,
руткит также позволял серверам C2 удаленно управлять серверами, физически
расположенными в организации.
«Политика
брандмауэра не была небрежной, но она могла бы быть и лучше», - сказал Чет
Вишневски, главный исследователь Sophos. Злоумышленники скрывали свою
активность, скрывая ее в трафике HTTP и HTTPS. «Вредоносное ПО было достаточно
сложным, чтобы его было трудно обнаружить даже при жесткой политике
безопасности», - сказал он. «Это был волк в овечьей шкуре ... сливался с
существующим трафиком».
Sophos
отказался раскрыть атакованную организацию, но сказал, что атака, по-видимому,
является кампанией по достижению конечных целей через цепочку поставок - причем
это всего лишь одна из жертв. Непонятно, кто стоит за атакой, но RAT основан на
исходном коде Gh0st RAT, инструмента, связанного с китайскими разработчиками.
Sophos также нашел некоторые отладочные сообщения на китайском языке.
Похоже,
что злоумышленники повторно используют одну и ту же RAT для серверов Linux и
Windows. «Мы наблюдали, как Linux RAT общается с одним сервером, а Windows - с
другим управляющим сервером, поэтому мы не уверены, что это даже одна и та же
инфраструктура», - сказал Вишневский. С2 был снят, отметил он.
Непонятно,
каким образом злоумышленники изначально проникли в сеть жертвы, но Sophos
предполагает одну возможность - это проникновение на сервер через SSH. У них
также нет большого количества информации о рутките, например о том, каким
портом он злоупотреблял, и они не знают наверняка, что им было нужно. «Скорее
всего, это атака цепочки поставок, нацеленная на эту организацию, чтобы
получить всех их клиентов или заказчиков», - сказал Вишневски.
Один из
редких аспектов атаки: он был нацелен на Linux с помощью руткита, который
назывался Snoopy. «Они отбросили часть руткита с драйверами и назвали его
Snoopy. Если бы он назывался допустимым именем файла на Linux-коробке, мы бы,
наверное, этого не заметили», - сказал Вишневский. К тому же вредоносное ПО для
Linux на сегодняшний день встречается относительно редко, в основном с
криптоджеками, добавил он.
Методы
Cloud Snooper на данный момент кажутся редкими, но, как и многие подобные
уникальные атаки, их подражание - лишь вопрос времени. «Каждый раз, когда мы
видим что-то, совершаемое в ходе целенаправленной атаки, обычно через пару лет
киберпреступники [применяют аналогичную тактику]», - сказал Вишневский.
«Этот
случай чрезвычайно интересен, поскольку он демонстрирует истинный
мультиплатформенный характер современной атаки», - написал исследователь Sophos
Сергей Шевченко в техническом отчете компании по Cloud Snooper.
Sophos
рекомендует развернуть функцию пограничного брандмауэра AWS, полностью исправив
серверы, выходящие в Интернет, и укрепить серверы SSH для защиты от Cloud
Snooper.
Комментариев нет:
Отправить комментарий