Cisco Talos ha detectado una brecha de seguridad en la nube publica, y es que, los ciber-delincuentes utilizan cada vez más el cloud para lograr sus objetivos sin recurrir al alojamiento de su propia infraestructura, empleando Azure o AWS, entre otros.
La última, detectada a finales de octubre y que afectó principalmente a Estados Unidos, Italia y Singapur, aprovechó los servicios cloud para desplegar y entregar variantes de herramientas de administración remota capaces de tomar el control del equipo.
“Las organizaciones deberían disponer de herramientas nativas de seguridad en la nube que proporcionen una visión global de la actividad en estos entornos. En particular, es vital inspeccionar las conexiones salientes a los servicios de computación en la nube en busca de tráfico malicioso”, explica Ángel Ortiz, Director de Ciber-Seguridad en Cisco España.
Malware en la nube pública
Las familias de malware asociadas a esta campaña son variantes de los troyanos de acceso remoto Netwire, Nanocore y AsyncRAT. Para entregar la carga útil del malware, el ciber-delincuente registró varios subdominios maliciosos de los hosts utilizando DuckDNS, un servicio de DNS dinámico gratuito.
Así te pueden hackear la infraestructura de nube pública
El vector de infección inicial es un correo electrónico de phishing con un archivo adjunto ZIP malicioso.
Estos archivos ZIP contienen una imagen ISO con un cargador en forma de JavaScript, un archivo batch de Windows o un script de Visual Basic que al ejecutarse en la máquina de la víctima descarga el malware alojado en un servidor Windows basado en Azure Cloud o en una instancia AWS EC2.
