Узнайте, как субъекты угроз используют легальные облачные сервисы и что можно с этим сделать
Постпандемическая рабочая среда внесла значительные изменения в ландшафт сетевой безопасности. Организации стали больше полагаться на облачные решения для хранения данных, такие как Google Drive и Dropbox, для выполнения своих повседневных операций
Облачные сервисы хранения данных обеспечивают простой и безопасный способ удовлетворения потребностей удаленных сотрудников. Но не только предприятия и сотрудники пользуются преимуществами этих услуг. Хакеры находят способы использовать доверие к облачным сервисам и сделать свои атаки чрезвычайно сложными для обнаружения
Как это происходит? Давайте узнаем!
Как хакеры используют облачные сервисы хранения данных, чтобы избежать обнаружения?
Хотя зашифрованные облачные сервисы хранения данных обычно пользуются доверием пользователей, компаниям бывает крайне сложно обнаружить вредоносную активность. В середине июля 2023 года исследователи из Palo Alto Networks обнаружили вредоносную активность с использованием облачных сервисов группы под названием Cloaked Ursa— также известной как APT29 и Cozy Bear
Считается, что эта группа имеет связи с российским правительством и несет ответственность за кибератаки на Демократический национальный комитет США (DNC) и взлом цепи поставок SolarWinds в 2020 году. Она также вовлечена в несколько кампаний кибершпионажа против правительственных чиновников и посольств по всему миру
Ее следующая кампания предполагает использование законных облачных хранилищ, таких как Google Drive и Dropbox, для прикрытия своей деятельности. Вот как группа проводит эти атаки
Модус операнди атаки
Атака начинается с рассылки фишинговых писем высокопоставленным лицам в европейских посольствах. Они маскируются под приглашения на встречи с послами и сопровождаются предполагаемой повесткой дня во вредоносном PDF-вложении
Вложение содержит вредоносный HTML-файл (EnvyScout), размещенный в Dropbox, который облегчает доставку на устройство пользователя других вредоносных файлов, включая полезную нагрузку Cobalt Strike
Исследователи предполагают, что получатель изначально не мог получить доступ к файлу в Dropbox, возможно, из-за ограничительной государственной политики в отношении сторонних приложений. Однако злоумышленники быстро отправили второе фишинговое письмо со ссылкой на вредоносный HTML-файл
Вместо использования Dropbox хакеры теперь полагаются на службы хранения Google Drive, чтобы скрыть свои действия и доставить полезную нагрузку в целевую среду. На этот раз удар не был блокирован
Почему угроза не была заблокирована?
По-видимому, поскольку многие рабочие места в настоящее время полагаются на приложения Google, включая Диск, для осуществления повседневной деятельности, блокировка этих служб обычно рассматривается как неэффективная для производительности
Повсеместная природа облачных сервисов и доверие клиентов к ним делают эту новую угрозу чрезвычайно сложной или даже невозможной для обнаружения
Какова цель атаки?
Как и во многих других кибератаках, целью атаки было использование вредоносного ПО и создание черного хода в зараженную сеть для кражи конфиденциальных данных
Подразделение 42 в Palo Alto Network предупредило Google Drive и Dropbox о злоупотреблении их услугами. Сообщается, что были приняты соответствующие меры в отношении аккаунтов, вовлеченных во вредоносную деятельность
Как защититься от облачных кибератак
Поскольку большинство антивирусных программ и средств обнаружения больше сосредоточены на загруженных файлах, а не на файлах в облаке, хакеры теперь обращаются к облачным сервисам хранения данных, чтобы избежать обнаружения. Хотя такие попытки фишинга нелегко обнаружить, есть шаги, которые можно предпринять для снижения рисков
- Включите многофакторную аутентификацию для ваших учетных записей: Даже если учетные данные пользователя будут получены таким образом, хакеру все равно потребуется доступ к устройству, которое выполняет многофакторную проверку.
- Применяйте принцип наименьшей привилегии: Учетная запись пользователя или устройство должны иметь только достаточный доступ, необходимый для конкретного случая.
- Отзыв излишнего доступа к конфиденциальной информации: Как только пользователь получил доступ к приложению, не забудьте отозвать эти привилегии, когда доступ больше не нужен.
Что является ключевым выводом?
Сервисы облачного хранения данных стали для организаций огромным шагом вперед в оптимизации ресурсов, оптимизации операций, экономии времени и снятия некоторых обязанностей по обеспечению безопасности
Но, как видно из подобных атак, хакеры начали использовать облачную инфраструктуру для атак, которые сложнее обнаружить. Вредоносный файл мог быть размещен в Microsoft OneDrive, Amazon AWS или любой другой облачной службе хранения данных
Понимание этого нового вектора угроз очень важно, но самое сложное – установить средства контроля для его обнаружения и реагирования на него. И похоже, что даже доминирующие игроки в сфере технологий испытывают с этим трудности
Комментировать