Veriti Research发现40%的网络允许“任意”云访问，暴露了严重漏洞。了解XWorm和Sliver C2等恶意软件如何利用云配置错误。

Veriti分享的最新研究揭示了网络犯罪分子利用云基础设施进行恶意攻击的令人担忧的趋势。研究表明，云平台不仅越来越多地被用来托管和传递恶意软件负载，还被用作指挥和控制中心。

一个特别令人担忧的发现是，超过40%的网络允许与至少一个主要云提供商进行不受限制的通信。这种“任意/任意”配置会产生严重的安全漏洞，使攻击者能够轻松地从看似受信任的云源窃取数据并部署恶意软件。

Veriti的研究重点突出了利用云存储的恶意软件活动的具体实例。最值得注意的实例包括XWorm恶意软件利用Amazon Web Services (AWS) S3存储来分发其恶意可执行文件。同样，Remcos活动利用恶意RTF文件，利用已知漏洞，有效载荷也托管在AWS S3上。

除了恶意软件分发之外，云平台还被积极用作命令和控制(C2)服务器。据观察，各种恶意软件家族(包括Havoc、NetSupportManager、Unam Miner、Mythic、Pupy RAT、Caldera、HookBot和Brutal Ratel)都利用AWS、Google Cloud、Microsoft Azure和阿里云等主要云提供商的基础设施进行C2操作。

研究人员还记录了在基于云的攻击中常见的恶意软件，例如Mirai和njRAT，进一步强调了对云环境的滥用日益严重。Veriti的报告显示，另一个令人担忧的发展是Sliver C2的使用日益增多，高级持续性威胁(APT)组织正在利用它进行隐秘的C2操作和后利用策略。

供您参考，Sliver C2是一个开源命令和控制框架，最初是为渗透测试而开发的，但现在已被威胁行为者武器化。它经常与基于Rust的恶意软件一起使用来建立后门并利用零日漏洞，包括最近的Ivanti Connect Secure和Policy Secure漏洞。

此外，研究还发现了影响AWS、Azure 和阿里云云托管服务的严重漏洞。这些漏洞由CVE编号标识，凸显了组织需要采取主动的云安全方法。

研究人员指出，云服务的滥用日益增多，要求我们转向安全第一的方法来防范这些不断演变的威胁。

“Veriti Research的研究结果强调，组织迫切需要重新考虑云安全策略。越来越多的人滥用云服务来托管恶意软件、执行C2操作和漏洞利用，这要求采取积极主动、安全第一的方法，”报告中写道。

这应该包括限制“任何/任何”网络规则，实施用于威胁监控的云原生安全解决方案，以及实施更强大的云安全策略。