Jak rosyjscy hakerzy wykorzystują Dysk Google i Dropbox do unikania wykrycia?

Środowisko pracy po pandemii przyniosło znaczące zmiany w krajobrazie bezpieczeństwa sieci. Organizacje zaczęły w coraz większym stopniu polegać na rozwiązaniach do przechowywania w chmurze, takich jak Dysk Google i Dropbox, do wykonywania codziennych operacji.

Usługi przechowywania w chmurze zapewniają prosty i bezpieczny sposób na zaspokojenie potrzeb pracowników zdalnych. Jednak nie tylko firmy i pracownicy korzystają z tych usług. Hakerzy znajdują sposoby na wykorzystanie zaufania do usług w chmurze i sprawiają, że ich ataki są niezwykle trudne do wykrycia.

Jak to się stało? Dowiedzmy Się!

Jak hakerzy wykorzystują usługi przechowywania w chmurze, aby uniknąć wykrycia?

Chociaż zaszyfrowane usługi przechowywania w chmurze są zazwyczaj zaufane przez użytkowników, firmom może być niezwykle trudno wykryć złośliwą aktywność. W połowie lipca 2022 r. naukowcy z Sieci Palo Alto odkrył szkodliwą aktywność wykorzystującą usługi w chmurze przez grupę o nazwie Cloaked Ursa — znaną również jako APT29 i Cozy Bear.

instagram viewer

Uważa się, że grupa ma powiązania z rosyjskim rządem i jest odpowiedzialna za cyberataki na Narodowy Komitet Demokratyczny USA (DNC) i 2020 Hack łańcucha dostaw SolarWinds. Jest również zaangażowany w kilka kampanii cyberszpiegowskich przeciwko urzędnikom państwowym i ambasadom na całym świecie.

Kolejna kampania obejmuje korzystanie z legalnych rozwiązań do przechowywania w chmurze, takich jak Dysk Google i Dropbox, aby chronić swoje działania. Oto jak grupa przeprowadza te ataki.

Modus Operandi ataku

Atak rozpoczyna się od e-maili phishingowych wysyłanych do głośnych celów w europejskich ambasadach. Podszywa się pod zaproszenie na spotkania z ambasadorami i zawiera rzekomy program w złośliwym załączniku PDF.

Załącznik zawiera złośliwy plik HTML (EnvyScout) hostowanych w Dropbox, które ułatwiłyby dostarczanie innych złośliwych plików, w tym ładunku Cobalt Strike na urządzenie użytkownika.

Badacze spekulują, że odbiorca początkowo nie mógł uzyskać dostępu do pliku w Dropbox, prawdopodobnie z powodu restrykcyjnych zasad rządowych dotyczących aplikacji innych firm. Jednak napastnicy szybko wysłali drugi e-mail typu spear phishing z linkiem do złośliwego pliku HTML.

Zamiast korzystać z Dropbox, hakerzy polegają teraz na usługach przechowywania na Dysku Google, aby ukryć swoje działania i dostarczyć ładunki do docelowego środowiska. Tym razem strajk nie został zablokowany.

Dlaczego zagrożenie nie zostało zablokowane?

Wygląda na to, że ponieważ wiele miejsc pracy polega obecnie na aplikacjach Google, w tym na Dysku, prowadzić swoją codzienną działalność, blokowanie tych usług jest zwykle postrzegane jako nieskuteczne, aby wydajność.

Wszechobecny charakter usług w chmurze i zaufanie klientów do nich sprawiają, że to nowe zagrożenie jest niezwykle trudne, a nawet niemożliwe do wykrycia.

Jaki jest cel ataku?

Podobnie jak w przypadku wielu cyberataków, wydaje się, że celem było wykorzystanie szkodliwego oprogramowania i stworzenie backdoora do zainfekowanej sieci w celu kradzieży poufnych danych.

Jednostka 42 w Palo Alto Network zaalarmowała zarówno Dysk Google, jak i Dropbox o nadużywaniu ich usług. Poinformowano, że podjęto odpowiednie działania wobec kont zaangażowanych w szkodliwą aktywność.

Jak chronić się przed cyberatakami w chmurze

Ponieważ większość narzędzi do zwalczania złośliwego oprogramowania i wykrywania skupia się bardziej na pobranych plikach, a nie na plikach w chmurze, hakerzy zwracają się teraz do usług przechowywania w chmurze, aby uniknąć wykrycia. Chociaż takie próby phishingu nie są łatwe do wykrycia, istnieją kroki, które można podjąć, aby zmniejszyć ryzyko.

Włącz uwierzytelnianie wieloskładnikowe dla swoich kont: Nawet jeśli poświadczenia użytkownika zostaną uzyskane w ten sposób, haker nadal będzie wymagał dostępu do urządzenia, które przeprowadza również weryfikację wieloskładnikową.
Aplikować Przywilej najmniejszej zasady: Konto użytkownika lub urządzenie wymaga jedynie dostępu niezbędnego w konkretnym przypadku.
Odwołaj nadmierny dostęp do poufnych informacji: Po przyznaniu użytkownikowi dostępu do aplikacji pamiętaj, aby cofnąć te uprawnienia, gdy dostęp nie jest już potrzebny.

Jaki jest klucz na wynos?

Usługi przechowywania w chmurze zmieniły zasady gry dla organizacji, aby zoptymalizować zasoby, usprawnić operacje, zaoszczędzić czas i zdjąć niektóre obowiązki związane z bezpieczeństwem.

Jednak, jak wynika z takich ataków, hakerzy zaczęli wykorzystywać infrastrukturę chmury do tworzenia ataków, które są trudniejsze do wykrycia. Złośliwy plik mógł być hostowany w Microsoft OneDrive, Amazon AWS lub dowolnej innej usłudze przechowywania w chmurze.

Zrozumienie tego nowego wektora zagrożeń jest ważne, ale najtrudniejszą częścią jest wprowadzenie kontroli w celu wykrywania go i reagowania na nie. I wygląda na to, że zmagają się z tym nawet dominujący gracze w technologii.

About Technology - denizatm.com

Jak rosyjscy hakerzy wykorzystują Dysk Google i Dropbox do unikania wykrycia?

Jak hakerzy wykorzystują usługi przechowywania w chmurze, aby uniknąć wykrycia?

Modus Operandi ataku

Jaki jest cel ataku?

Jak chronić się przed cyberatakami w chmurze

Jaki jest klucz na wynos?

Kategorie

Recent Post

Jak używać rachunków menniczych do zarządzania rachunkami jak profesjonalista

10 powodów, dla których powinieneś przechowywać swoje dane w FreeNAS Box

Jak przenieść się do Kanady: wyjaśnienie dotyczące ekspresowego wejścia