U sofisticiranom sajber napadu otkrivenom ove sedmice, uočeno je da ruski hakeri iskorištavaju više pružatelja usluga u cloud-u kako bi isporučili ozloglašeni maliciozni softver Lumma Stealer.
Kampanja koristi legitimnu cloud infrastrukturu – uključujući Oracle Cloud Infrastructure (OCI), Scaleway Object Storage i Tigris – za hostovanje malicioznog sadržaja koji cilja privilegovane korisnike u raznim organizacijama.
Stručnjaci za sigurnost upozoravaju da ovo predstavlja rastući trend prijetnji koje koriste pouzdane cloud platforme kako bi zaobišli tradicionalne sigurnosne kontrole.
.webp)
Napadači koriste taktike socijalnog inženjeringa koje namamljuju žrtve putem prikrivenih besplatnih preuzimanja igara i lažnih reCAPTCHA stranica za verifikaciju.
Ovi obmanjujući elementi strateški su smješteni kod različitih pružatelja usluga u cloud-u, stvarajući distribuisanu infrastrukturu napada koju je teško otkriti i ublažiti.
Nakon što korisnici stupe u interakciju s ovim naizgled legitimnim elementima, oni nesvjesno pokreću složeni lanac infekcije koji na kraju isporučuje maliciozni softver Lumma Stealer.
Istraživači CATO Networksa identificirali su kampanju putem svojih operacija prikupljanja obavještajnih podataka o prijetnjama, primjećujući sofisticiranu upotrebu više cloud provajdera kao namjernu taktiku za poboljšanje otpornosti napada.
„Distribucijom malicioznih komponenti u Oracle Cloud Infrastructure, Scaleway i Tigris, napadači stvaraju redundanciju koja im pomaže da održe postojanost čak i ako se otkrije i blokira jedna lokacija hostinga“, objasnio je Guile Domingo, SOC analitičar u Cato Networks.
Tehnička sofisticiranost napada je očigledna u njegovom višefaznom pristupu. Početna kompromitacija počinje kada korisnici naiđu na maliciozne linkove, često putem phishing e-mailova ili kompromitovanih web stranica.
Ovi linkovi usmjeravaju žrtve na sadržaj hostovan u cloud-u koji izgleda legitimno, ali sadrži skriveni maliciozni kod.
Napadači posebno ciljaju privilegovane korisnike koji mogu imati pristup vrijednim organizacijskim podacima ili akreditivima, što ovu kampanju čini posebno opasnom za preduzeća.
Analiza infrastrukture napada otkriva opsežnu mrežu malicioznih domena i URL-ova raširenih po više pružatelja usluga u oblaku.
Posebno je zabrinjavajuća sposobnost napadača da održe stalan pristup sistemima žrtava putem naprednih tehnika poput otmice redoslijeda pretrage DLL-ova, što omogućava malicioznom softveru da se sigurno uspostavi na zaraženim sistemima.
Mehanizam infekcije: Put do kompromitacije
Proces zaraze počinje kada žrtve koriste prikrivene besplatne preuzimanja igara ili lažne reCAPTCHA obrasce za verifikaciju.
.webp)
Scenarij preuzimanja igre uključuje naizgled legitimnu instalaciju softvera koja tajno isporučuje maliciozne komponente.
Korisnik vjeruje da preuzima popularni softver za igre, ali umjesto toga prima arhivu koja sadrži maliciozni softver Lumma Stealer .
.webp)
Slično tome, lažni reCAPTCHA izazovi smješteni u Tigris Object Storage-u varaju korisnike da se uključe u maliciozni sadržaj.
URL-ovi poput „fly.storage.tigris.showing-next-go.html“ i slično strukturisane adrese na Oracle Cloudu (objectstorage.ap-seoul-1.oraclecloud.com) i Scalewayu (datastream-dist.s3.pl-waw.scw.cloud) hostiraju ove izazove verifikacije koji na kraju dovode do zaraze malicioznim softverom.
Kada korisnici koriste ove elemente, sistem preuzima ZIP arhivu (identifikovanu kao „DOwnl0@d Comp!3t3 L@t3st PC Setup.zip“) koja sadrži potpisanu izvršnu datoteku („setup[.]exe“).
Ovaj izvršni fajl koji izgleda legitimno zatim izvršava Lumma Stealer iz memorije, omogućavajući mu prikupljanje akreditivnih podataka, kripto novčanika i drugih osjetljivih informacija bez otkrivanja od strane tradicionalnih sigurnosnih rješenja.
Napadači dodatno povećavaju svoje šanse za uspjeh korištenjem otmice DLL pretrage putem maliciozne MpGear.dll datoteke.
Ova tehnika osigurava automatsko učitavanje malicioznog softvera kada se pokrenu određene legitimne aplikacije, osiguravajući postojanost na zaraženim sistemima i omogućavajući kontinuirano uklanjanje podataka tokom dužih perioda.
Izvor: CyberSecurityNews
