Cyberkriminelle missbrauchen AWS, Google Cloud, Cloudflare und Microsoft-Dienste zur Verschleierung von Schadverkehr

Beschleunigen Sie Sicherheitsworkflows für schnellere Triage und Reaktion. Integrieren Sie Bedrohungsintelligenz Ihre SOC oder MSSP.

Analyse einer Sandbox: Angriffsablauf und TTPs eines Remote-Access-Trojans Cobalt Strike versteckt sich hinter vertrauenswürdigen Cloud-Anbietern Eines der alarmierendsten Befunde stammt aus einer JA3S-TLS-Fingerabdruckabfrage, die sich auf den Hash 1af33e1657631357c73119488045302c konzentriert, ein Signaturmerkmal, das häufig mit Cobalt Strike-Bacons Verbindung gebracht wird.

Eine Suche nach einem einzigen Verbindungsparameter offenbart ein bösartiges Muster. Analysten, die diesen Hash in Lookup abfragten, stellten mehr als 1.000 Systemereignisse fest, die überwiegend native Windows-Prozesse wie slui.exe, svchost.exe und PowerShell betreffen und den Missbrauch klassischer Living-off-the-Land-Binaries (LOLBins) beinhalten.

Technischer Hintergrund

Fast alle Kommunikationen wurden über Port 443 (HTTPS) geroutet, wobei die Allgegenwart des Protokolls genutzt wird, um sich in den normalen Unternehmungsverkehr zu tarnen. Noch kritischer ist, dass die C2-Infrastruktur, die mit diesem JA3S-Fingerabdruck verknüpft ist, auf Plattformen, GitHub, Google, Amazon und Cloudflare gehostet wurde.

Diese gezielte Nutzung seriöser Plattformen macht herkömmliche blockierende Maßnahmen auf Basis. JA3S-Fingerprinting bietet einen verhaltensbasierten Anker, der auch dann bestehen bleibt, wenn Gegner Domains und IP-Adressen rotieren; dies ist eine leistungsstarke Technik zur Verfolgung der Kontinuität von C2-Infrastrukturen.

Die Erkennung dieses JA3S-Hashes Netzwerktelemetrie sollte als starker Indikator für eine Cobalt Strike-Infektion gewertet werden und sofort die Korrelation auf Endpunkten sowie Incident-Response-Prozesse auslösen.

Sicherheitslage und Risiko

Die Untersuchung enthüllte zudem aktive Phishing-Kampagnen, die brasilianische Organisationen ins Visier nehmen, wobei Angreifer Subdomains weltweit bekannter Dienste sowie bösartige Domains ausnutzen. Die Nutzung üllt einen doppelten Zweck: Sie verleiht den Angriffen ein Scheingewicht Legitimität und erschwert gleichzeitig die Entfernung der Domains.

Sicherheitsteams Brasilien und ähnlichen Regionen sollten besonders wachsam sein gegenüber E-Mails, die Links Subdomains beliebter Cloud-Dienste enthalten. Netzwerkinfrastruktur Zusammenhang mit Phishing-Angriffen auf brasilianische Nutzer.

Dies wird durch die Entdeckung (BEC)-Kampagnen ergänzt, die gefälschte Rechnung-PDF-Dateien mit den Namen invoice.pdf und pagamento.pdf (portugiesisch für „Zahlung") auf Amazon S3-Buckets hosten. Solche Dateien wurden Phishing-Kampagnen mit gefälschten Finanzdokumenten identifiziert. Diese Dateien dienen als Infektionsvektoren für Finanzbetrugsoperationen.

Technischer Hintergrund

Die Erkenntnis unterstreicht, dass legitime Cloud-Speicherlösungen mittlerweile bevorzugte Staging-Umgebungen für die Erstauslieferung, wobei Datei-Hashes dieser Proben verwertbare Indikatoren für Kompromittierungen (IOCs) liefern, die zur Blockierung und Erkennung genutzt werden können. Trojaner-Verkehr, der über HTTPS auf Port 443 getunnelt wird.

Eine verhaltensbasierte Hunting-Abfrage, die russische IP-Geolokalisierung, Suricata-Trojaner-Klassifikationen und Kommunikation über Port 443 kombiniert, hat ein diverses Ökosystem aus bösartigem Verkehr zutage gefördert, der absichtlich als routinemäßige verschlüsselte Webaktivität getarnt wurde.

Sammeln Sie Indikatoren für Kompromittierungen (IOCs) und beobachten Sie die Ausnutzung des Ports 443 in einer einzigen Abfrage. Diese mehrschichtige Angriffsstrategie, die mehrere legitime Dienste über verschiedene Ports zur Kommunikation und als Fallback einsetzt, zeigt, wie Angreifer Resilienz direkt in ihre Infrastruktur integrieren.

Technischer Hintergrund

Die Top-Level-Domain.top erwies sich als besonders feindlicher Bereich, wobei algorithmisch generierte Domain-Generation-Algorithmus (DGA)-Domains im großen Maßstab als bösartig klassifiziert wurden. Diese Domains nutzen routinemäßig WinRAR-Archive zur Auslieferung ein, um die tatsächlichen Serverstandorte zu verschleiern.

Angesichts des extrem hohen Volumens bösartiger Aktivitäten Zusammenhang mit.top blockieren viele Organisationen die gesamte Top-Level-Domain proaktiv Netzrand. Verwandeln Sie unsichere Warnungen in schnellere, verteidigungsfähige Entscheidungen. Erhalten Sie klarere Beweise für Reaktionen und Berichterstattung.

Bösartige Domains und verknüpfte IOCs müssen für Erkennung und Reaktion gesammelt werden. Für SOC-Teams und Bedrohungsjäger unterstreicht diese Forschung mehrere kritische Imperative.

Multi-Parameter-Suchabfragen, die JA3S-Fingerabdrücke, Zielstandort-Geolokalisierung, Suricata-Klassifikationen

Multi-Parameter-Suchabfragen, die JA3S-Fingerabdrücke, Zielstandort-Geolokalisierung, Suricata-Klassifikationen und Dateipfadmuster kombinieren, werden Single-IOC-Suchvorgänge deutlich übertreffen.

Erkennungsregeln, die auf den identifizierten JA3S-Hash, HTTPS-basiertes C2-Verhalten und Hochrisiko-TLDs wie.top,.shop und.cc abzielen, sollten unverzüglich implementiert werden. Die Integration der TI-Feeds und Lookup-Ergebnisse /SOAR-Plattformen kann die Bedrohungs-Korrelation automatisieren und die Belastung der Analysten verringern.

Auf Unternehmensebene beweist die extensive Ausnutzung vertrauenswürdiger Infrastruktur, Google und Amazon, dass Markenreputation allein keine Netzwerksicherheit mehr garantiert.

Sicherheitslage und Risiko

Die Annahme eines Zero-Trust-Ansatzes, die Investition in fortschrittliche sandkastenbasierte Erkennung und die Schulung finanzieller Teams zu den Risiken (BEC) und Phishing sind nicht mehr optional; sie stellen Grundvoraussetzungen für Resilienz in einer Bedrohungslandschaft dar, in der die zuverlässigste Waffe des Angreifers die Cloud-Plattform ist, der Ihr Unternehmen bereits vertraut.

Schließen Sie tote Winkel und verringern Sie das Risiko kritischer Vorfälle mit der Bedrohungsintelligenz „Angreifer missbrauchen AWS, Google Cloud, Cloudflare und Microsoft-Dienste, um bösartigen Datenverkehr zu verbergen" erschien erstmals auf