Постпандемическая рабочая среда внесла существенные изменения в ландшафт сетевой безопасности. Организации стали больше полагаться на облачные хранилища, такие как Google Drive и Dropbox, для выполнения своих повседневных операций.
Службы облачного хранения обеспечивают простой и безопасный способ удовлетворить потребности удаленной рабочей силы. Но не только предприятия и сотрудники пользуются этими услугами. Хакеры находят способы использовать доверие к облачным сервисам и делают свои атаки крайне сложными для обнаружения.
Как это происходит? Давай выясним!
Как хакеры используют службы облачного хранения, чтобы избежать обнаружения?
Хотя пользователи обычно доверяют зашифрованным облачным хранилищам, компаниям может быть чрезвычайно сложно обнаружить вредоносную активность. В середине июля 2022 года исследователи из Пало-Альто Сети обнаружил вредоносную активность с использованием облачных сервисов группой Cloaked Ursa, также известной как APT29 и Cozy Bear.
Считается, что группа имеет связи с российским правительством и несет ответственность за кибератаки на Национальный комитет Демократической партии США (DNC) и партию 2020 г.
Взлом цепочки поставок SolarWinds. Он также участвует в нескольких кампаниях кибершпионажа против правительственных чиновников и посольств по всему миру.Его следующая кампания предполагает использование законных облачных хранилищ, таких как Google Drive и Dropbox, для защиты своей деятельности. Вот как группа проводит эти атаки.
Метод атаки
Атака начинается с фишинговых писем, рассылаемых высокопоставленным лицам в европейских посольствах. Он маскируется под приглашения на встречи с послами и поставляется с предполагаемой повесткой дня во вредоносном вложении в формате PDF.
Вложение содержит вредоносный HTML-файл (EnvyScout), размещенные в Dropbox, которые облегчили бы доставку других вредоносных файлов, включая полезную нагрузку Cobalt Strike, на устройство пользователя.
Исследователи предполагают, что получатель изначально не мог получить доступ к файлу в Dropbox, вероятно, из-за ограничительной государственной политики в отношении сторонних приложений. Однако злоумышленники поспешили отправить второе целевое фишинговое письмо со ссылкой на вредоносный HTML-файл.
Вместо того, чтобы использовать Dropbox, хакеры теперь полагаются на службы хранения Google Диска, чтобы скрыть свои действия и доставить полезную нагрузку в целевую среду. На этот раз удар не был заблокирован.
Почему не заблокировали угрозу?
Похоже, что, поскольку многие рабочие места теперь полагаются на приложения Google, включая Диск, для выполнять свои повседневные операции, блокирование этих служб обычно считается неэффективным для производительность.
Повсеместное распространение облачных сервисов и доверие к ним клиентов делают эту новую угрозу чрезвычайно сложной или даже невозможной для обнаружения.
Какова цель атаки?
Как и многие другие кибератаки, похоже, целью было использование вредоносного ПО и создание бэкдора в зараженной сети для кражи конфиденциальных данных.
Подразделение 42 сети Palo Alto Network предупредило Google Drive и Dropbox о злоупотреблении их услугами. Сообщается, что в отношении учетных записей, причастных к вредоносной деятельности, были приняты соответствующие меры.
Как защититься от облачных кибератак
Поскольку большинство средств защиты от вредоносных программ и средств обнаружения больше ориентированы на загруженные файлы, а не на файлы в облаке, хакеры теперь обращаются к облачным службам хранения, чтобы избежать обнаружения. Хотя такие попытки фишинга нелегко обнаружить, есть шаги, которые вы можете предпринять, чтобы снизить риски.
- Включите многофакторную аутентификацию для своих учетных записей: Даже если учетные данные пользователя получены таким образом, хакеру все равно потребуется доступ к устройству, которое также выполняет многофакторную проверку.
- Применить Привилегия наименьшего принципа: Учетной записи пользователя или устройству требуется только достаточный доступ, необходимый для конкретного случая.
- Отменить чрезмерный доступ к конфиденциальной информации: Когда пользователю предоставлен доступ к приложению, не забудьте отозвать эти привилегии, когда доступ больше не нужен.
Что такое ключевой вывод?
Службы облачного хранения сильно изменили правила игры для организаций, позволив оптимизировать ресурсы, оптимизировать операции, сэкономить время и снять с себя некоторые обязанности по обеспечению безопасности.
Но, как видно из подобных атак, хакеры начали использовать облачную инфраструктуру для создания атак, которые труднее обнаружить. Вредоносный файл мог быть размещен в Microsoft OneDrive, Amazon AWS или любом другом облачном хранилище.
Понимание этого нового вектора угроз важно, но самое сложное — установить средства контроля для обнаружения и реагирования на него. И похоже, что даже доминирующие игроки в сфере технологий борются с этим.
