Hackeri používajú na ťažbu kryptomeny kompromitované účty Google Cloud

Aktéri hrozieb využívajú nesprávne zabezpečené inštancie platformy Google Cloud Platform (GCP) na sťahovanie softvéru na ťažbu kryptomien do napadnutých systémov, ako aj zneužívanie svojej infraštruktúry na inštaláciu ransomvéru, vytváranie phishingových kampaní a dokonca generovanie návštevnosti YouTube videá na manipuláciu s počtom zhliadnutí.

„Zatiaľ čo zákazníci cloudu naďalej čelia rôznym hrozbám naprieč aplikáciami a infraštruktúrou, veľa úspešných útokov je spôsobených zlou hygienou a nedostatočnou implementáciou základnej kontroly,“ uviedol akčný tím spoločnosti Google pre kybernetickú bezpečnosť (CAT) v rámci svojej nedávnej správy Threat Horizons. minulý týždeň.

Z 50 nedávno napadnutých inštancií GCP sa 86 % z nich použilo na ťažbu kryptomien, v niektorých prípadoch do 22 sekúnd od úspešného narušenia, zatiaľ čo 10 % inštancií bolo zneužitých na skenovanie iných verejne dostupných hostiteľov na internete na identifikáciu zraniteľné systémy a 8% prípadov bolo použitých na zasiahnutie iných subjektov. O 6% inštancií GCP bolo použitých na hosťovanie škodlivého softvéru.

Vo väčšine prípadov bol neoprávnený prístup pripísaný použitiu slabých alebo žiadnych hesiel pre používateľské účty alebo pripojenia API (48 %), zraniteľnosti v softvéri tretích strán nainštalovanom v cloudových inštanciách (26 %) a úniku prihlasovacích údajov na GitHub. projekty (4%).

Ďalším pozoruhodným útokom bola phishingová kampaň Gmail, ktorú spustila APT28 (aka Fancy Bear) koncom septembra 2021, ktorá zahŕňala odoslanie e-mailu viac ako 12 000 majiteľom účtov predovšetkým v USA, Spojenom kráľovstve, Indii, Kanade, Rusku, Brazílii a národov EÚ s cieľom ukradnúť ich poverenia.

Okrem toho Google CAT uviedol, že pozoroval protivníkov, ktorí zneužívali bezplatné cloudové kredity tým, že používali skúšobné projekty a vydávali sa za falošné startupy, aby sa zapojili do čerpania návštevnosti YouTube. V samostatnom incidente sa skupina útočníkov podporovaná severokórejskou vládou zamaskovala za náborových pracovníkov spoločnosti Samsung, aby zamestnancom niekoľkých juhokórejských spoločností zaoberajúcich sa bezpečnosťou informácií, ktoré predávajú antimalvérové ​​riešenia, poslali falošné pracovné príležitosti.

„E-maily obsahovali PDF, o ktorom sa údajne tvrdilo, že ide o popis úlohy pre rolu v Samsungu; PDF však boli nesprávne naformátované a neotvorili sa v štandardnej čítačke PDF,“ uviedli vedci. “Keď ciele odpovedali, že nemôžu otvoriť popis úlohy, útočníci odpovedali škodlivým odkazom na malvér, ktorý sa vydáva za ‘Secure PDF Reader’ uložený na Disku Google, ktorý je teraz zablokovaný.”

Spoločnosť Google spojila útoky s tým istým aktérom hrozby, ktorý sa už začiatkom tohto roka zameral na bezpečnostných profesionálov pracujúcich na výskume a vývoji zraniteľnosti, aby ukradli exploity a zorganizovali ďalšie útoky na zraniteľné ciele podľa vlastného výberu.

„Prostriedky hostené v cloude majú výhodu vysokej dostupnosti a prístupu „kdekoľvek a kedykoľvek“,“ uviedol Google CAT. „Zatiaľ čo zdroje hostené v cloude zefektívňujú operácie pracovnej sily, zlí aktéri sa môžu pokúsiť využiť všadeprítomnú povahu cloudu na kompromitáciu cloudových zdrojov. Napriek rastúcej pozornosti verejnosti voči kybernetickej bezpečnosti sú taktiky spear-phishingu a sociálneho inžinierstva často úspešné.“