Los atacantes utilizan proveedores de nubes públicas para propagar RAT

Cisco Talos ha descubierto una campaña que utiliza los proveedores de servicios en la nube pública para propagar malware. La ofensiva es el último ejemplo de actores de amenazas que abusan de servicios en la nube como Microsoft Azure y Amazon Web Services con fines maliciosos, según han podido descubrir los investigadores de seguridad Chetan Raghuprasad y Vanja Svajcer. 

Para camuflar su actividad, según han señalado los investigadores, los ciberdelincuentes utilizaron el servicio de DNS dinámico DuckDNS, para cambiar los nombres de dominio de los hosts de comando y control utilizados para la campaña, que comenzó a distribuir variantes de Nanocore, Netwire y AsyncRAT a objetivos en Estados Unidos, Italia y Singapur, a partir del 26 de octubre. Estas variantes están dotadas de múltiples funciones para tomar el control del ordenador de un objetivo, permitiéndole emitir órdenes y robar información.

El ataque comienza con un correo electrónico de phishing que contiene un archivo ZIP envenenado

Los investigadores descubrieron que el vector de infección inicial de los atacantes es un correo electrónico de phishing con un archivo ZIP envenenado. El archivo contiene una imagen ISO con un script malicioso. Cuando el script se ejecuta, se conecta a un servidor, que suele estar alojado en Azure o AWS, para descargar la siguiente etapa del malware.

"Los actores de las amenazas utilizan cada vez más las tecnologías en la nube para lograr sus objetivos, sin tener que recurrir al alojamiento de su propia infraestructura", explicaron los investigadores. "Este tipo de servicios en la nube, como Azure y AWS, permiten a los atacantes configurar su infraestructura y conectarse a Internet con un compromiso mínimo de tiempo o dinero. También consiguen que sea más difícil para los defensores rastrear las operaciones de los atacantes".

El ataque no es nuevo, pero subraya el riesgo de la nube pública

Utilizar la infraestructura de otro para el mando y control del malware no es una práctica nueva, tal y como explica Oliver Tavakoli, CTO de Vectra, un proveedor de soluciones de gestión automatizada de amenazas. "Antes de que existiera la nube, este enfoque implicaba entrar en la infraestructura informática de alguien y alojar la distribución de malware y la comunicación C2 desde allí", según afirma. "En la era de las nubes públicas, se puede simplemente alquilar el cómputo en un grupo que tiene una reputación turbia y que es difícil de poner en la lista negra".

"Los actores de las amenazas utilizan servicios en la nube bien conocidos en sus campañas, porque el público confía pasivamente en que las grandes empresas son seguras", añade Davis McCarthy,

Según explica el investigador principal de seguridad de Valtix, un proveedor de servicios de seguridad de red nativos de la nube, "los defensores de la red pueden pensar que las comunicaciones a una dirección IP propiedad de Amazon o Microsoft son benignas, porque esas comunicaciones se producen con mucha frecuencia en una miríada de servicios". McCarthy recomienda que para protegerse de los ataques basados en CSP, las organizaciones deben crear un inventario de servicios en la nube conocidos y sus comportamientos de comunicación en la red.

La supervisión continua de la actividad de la red, con respecto a una línea de base, es clave para identificar los riesgos que abren una organización a este tipo de campañas, según añade Eric Kedrosky, CISO de Sonrai Security. Kedrosky también aconseja que "no se debe confiar en los viejos controles —cosas como cortafuegos, antivirus y demás—, ya que no son tan eficaces en la nube".

"Una organización debe tener visibilidad de todas las identidades en su nube, especialmente las no humanas, y los permisos que tienen todas y cada una de ellas", dice Kedrosky. "Es fundamental bloquear quién y qué tiene acceso a sus servicios en la nube y qué puede hacer con ellos. Si un atacante se hace con una identidad con demasiados permisos, puede utilizar eficazmente tu nube contra ti y será casi imposible de detectar."