Virtuális gépi infrastruktúra rosszindulatú használata
A Sophos blogbejegyzése a virtuális gépeket szolgáltató infrastruktúra rosszindulatú felhasználását vizsgálja, és azt a jelenséget tárja fel, hogy a kiberbűnözők és bizonyos hosting szolgáltatók megosztott, automatizált Windows-alapú VM-szolgáltatásokat használnak saját rosszindulatú műveleteikhez. A kutatók több olyan esetet elemeztek, ahol a VM-ek azonos, automatikusan generált NetBIOS-névvel (például WIN-J9D866ESIJ2 vagy WIN-LIVFRVQFMKO) jelentek meg a hálózaton, és ezeket a nevük alapján több ezer szervert azonosítottak olyan infrastruktúrában, amelyet bulletproof hosting szolgáltatók üzemeltettek. Ezeket a VM-eket részben ransomware-műveletekhez, rosszindulatú kódok terjesztéséhez és más kiberbűnözői tevékenységekhez használták a hálózatba történő belépés vagy C2 céljából.
Ezek a VM-ek, amelyek egy legitim ISPsystem VMmanager platformról származó sablonokból készültek, azonos konfigurációval és önaláírt tanúsítványokkal kerülnek létrehozásra, így egymástól független fenyegető tevékenységek is könnyen összekeverhetők vagy nehezen elkülöníthetők a kutatók számára. Ez azt jelenti, hogy a kiberbiztonsági csapatok nem feltétlenül osztanak meg közös infrastruktúrát, hanem a sablonos VM-készletek használata implicit maszkként takarja az egyedi tevékenységeket, miközben nagy számban, gyorsan és olcsón hozhatnak létre támadásra alkalmas végpontokat.
A vizsgálat szerint a legnagyobb kockázat abban rejlik, hogy ezek a hosting szolgáltatók gyakorlatilag lehetővé teszik a kiberbűnözők számára, hogy skálázható, azonos megjelenésű virtuális gépeket futtassanak, amelyeket aztán phishing, malware terjesztés vagy különféle C2 célokra használnak fel. Mivel a VM-ek ugyanazzal a hostnévvel és aláírt tanúsítvánnyal futnak, azonosításuk és elkülönítésük a védekező oldalon nehezebb, ami megnehezíti a fenyegetések követését, attribúcióját és blokkolását.
