安全研究人员发现，近日有黑客将脑筋动到公有云头上，利用微软Azure及Amazon Web Services（AWS）来传播远程访问木马（remote access trojan,RAT）程序。

思科旗下Talos Intelligence实验室去年10月底，发现一个不明组织传播Nanocore、Netwire和AsyncRAT的变种。这些变种包含多种功能，可控制受害者计算机、执行远程程序代码及窃取受害者信息。

这波感染行动一开始是黑客发送有恶意ZIP附件的钓鱼信件。这些ZIP附件包含ISO镜像文件及JavaScript、Windows批次或Visual Basic script写成的下载器。当这个script在用户计算机执行后，这个文件就会连到外部下载点，以下载次阶段的恶意程序。这些下载点可被托管在微软Azure上的Windows服务器或是AWS EC2执行实例。而为有效下载次阶段的恶意程序，攻击者还利用免费动态DNS服务DuckDNS注册恶意子域名。

图片来源／思科

研究人员分析，最后下载到用户计算机的恶意程序包括Nanocore、Netwire和AsyncRAT等RAT程序的变种。以其技术能力而言，Nanocore可搜集受害计算机影音资料及远程桌面、Netwire则可远程执行指令以窃取受害者密码、登录凭证及信用卡资料。AsyncRAT则能借由记录键击、录制屏幕、及设置系统组态，以便搜集受害机器的机密资料。

依据恶意子域名的DNS调用分布来判断，这波攻击可能受害者分布在美国、加拿大、意大利及新加坡，此外西班牙及韩国也有零星案例。

研究人员建议企业应时常检查连向云计算服务的对外连接，以侦测可能的恶意活动流量。