Hakeri često ciljaju i iskorištavaju Amazonove usluge zbog njihove ogromne ponude, uključujući ogromnu snagu računara, skladištenje i globalni doseg.
Ovi elementi Amazonovih usluga su unosni za hakere, što ih čini idealnim za pokretanje napada, hostovanje zlonamjernog sadržaja i skrivanje njihovih aktivnosti.
Analitičari kibernetičke sigurnosti u ASEC- u su nedavno otkrili da hakeri iskorištavaju Amazon Services za isporuku naoružanih MSC datoteka.
Technička analiza
MSC (Management Console) zlonamjerni softver iskorištava strukture XML datoteka, koje se izvršavaju preko Microsoftove upravljačke konzole (MMC).
.webp)
Nedavne varijante, koje je otkrio Elastic Security Labs 22. juna, stavljaju korisne podatke u odeljak „<StringTables>“ MSC fajlova. Zlonamjerni softver iskorištava ranjivost u apds.dll, ciljajući AhnLab TIP korisnike.
Jedan analizirani uzorak, pod nazivom “Pokušaji jačanja odbrambenih kapaciteta Japana i oživljavanja njegove odbrambene industrije (za pregled).msc”, preuzima zlonamjerne datoteke uključujući “msedge.dll” sa AWS S3 na “C:\Users\Public”.
.webp)
Izvršava legitimni PDF kao masku dok “Edge.exe” učitava “msedge.dll”, koji dešifruje “Logs.txt” za kreiranje shellcode-a.
%20MSC%20final%20payload%20(Right)%20Decoy%20PDF%20document%20(Source%20-%20ASEC).webp)
Ovaj shellcode se ubrizgava u pokrenuti dllhost.exe proces, koji se zatim povezuje na “152.42.226.161:88/ins.tg” radi dodatnog preuzimanja korisnog opterećenja.
Završna faza pokušava komunikaciju sa “static.sk-inc.online:8443/etc.clientlibs/microsoft/clientlibs/clientlib-mwf-new/resources/fonts” za dalja preuzimanja, iako je ovaj server bio neaktivan tokom analize.
Ovaj sofisticirani lanac napada demonstrira evoluirajuću taktiku MSC-baziranih kampanja zlonamjernog softvera.
U ovom slučaju, fajlovi se preuzimaju sa AWS S3 u „C:\Users\Public“. Zatim skače na datoteku “oncesvc.exe” koja je zapravo .NET komponenta “dfsvc.exe”.
On preuzima izvršni fajl iz “oncesvc.exe.config” i pokreće ga. Čini se da je JSON datoteka prerušena DLL koja koristi AES algoritam za dešifriranje za izdvajanje URL-a „hxxps://speedshare.oss-cn-hongkong.aliyuncs.com/2472dca8c48ab987e632e66caabf86502bf3.xm.
.webp)
Shellcode se preuzima sa ovog URL-a i izvršava u drugoj niti. Ova prijetnja pokušava razgovarati s Amazon Cloudom, pa ako je uspješna, dešifruje primljene podatke i izvršava ih u drugoj niti.
Primjetno, nije bilo traga o “readme.docx”, koji je vjerovatno dokument mamca.
Vjeruje se da se zlonamjerni softver poput ovog širi putem phishing poruka e-pošte, što posljedično naglašava potrebu za oprezom pri radu s takvim e-porukama.
Izvor: CyberSecurityNews
