Wouter Hoeffnagel - 26 februari 2020

Nieuwe aanval laat malware via firewalls met elkaar communiceren

Een geavanceerde aanvalstechniek gebruikt die een unieke combinatie van technieken om malware op servers toe te staan en via firewalls vrij te communiceren met command and control servers. Het gaat om 'Cloud Snooper'.

SophosLab waarschuwt in een nieuw rapport voor Cloud Snooper. Het rapport ontleedt de tactieken, technieken en procedures (TTP's) die bij de aanvallen worden gebruikt. SophosLabs vermoedt dat de aanval het werk was van een land met spionagedoeleinden.

Rootkits

De TTP’s omvatten een rootkit die firewalls omzeilt, een zeldzame techniek om toegang te krijgen tot servers die vermomd zijn als regulier verkeer én een backdoor-payload die schadelijke code deelt tussen zowel Windows- als Linux-besturingssystemen. Hoewel elk element eerder bij aanvallen is waargenomen, zijn ze niet eerder in combinatie gezien. Sophos verwacht dat dit pakket van TTP's tot in de lagere rangen van de cybercriminele piramide zal doorsijpelen en als blauwdruk voor toekomstige firewallaanvallen zal dienen.

“Dit is de eerste keer dat we een aanvalstactiek hebben gezien die een bypass-techniek combineert met een multiplatform payload, gericht op zowel Windows- als Linux-systemen. IT-securitysteams en netwerkbeheerders moeten snel heel veel werk verzetten met het patchen van alle externe services om te voorkomen dat aanvallers cloud- en firewallbeveiligingsbeleid ontwijken”, zegt Sergei Shevchenko, threat research manager van SophosLabs. “Securityteams moeten ook bescherming bieden tegen aanvallen van meerdere platforms. Tot nu toe waren Windows-gebaseerde middelen een typisch doelwit, maar aanvallers overwegen Linux vaker omdat clouddiensten populaire jachtgebieden zijn geworden. Het is een kwestie van tijd voordat meer cybercriminelen deze technieken overnemen.”

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024