Хакеры используют ненадлежащим образом защищенные экземпляры Google Cloud Platform (GCP) для установки майнеров криптовалюты на взломанные системы, а также для развертывания CnC-серверов шифровальщиков, проведения фишинговых кампаний и даже для генерации трафика на видеоролики YouTube с целью манипулирования количеством просмотров.
«Хотя клиенты облачных сервисов продолжают сталкиваться с различными угрозами для приложений и инфраструктуры, многие успешные атаки происходят из-за плохой гигиены и отсутствия базового контроля безопасности» - говорится в отчете «Threat Horizons», опубликованном на прошлой неделе исследовательской командой Google Cybersecurity Action Team (CAT).
Из 50 недавно взломанных экземпляров GCP 86% были использованы для майнинга криптовалюты, в некоторых случаях майнер был уже в течение 22 секунд после успешного взлома, 10% экземпляров были использованы для сканирования других общедоступных узлов в Интернете с целью выявления уязвимых систем, а 8% экземпляров были использованы для нанесения ударов по другим организациям. Около 6% экземпляров GCP использовались для размещения вредоносного ПО.
В большинстве случаев несанкционированный доступ был связан с использованием слабых паролей или их отсутствием для учетных записей пользователей или API-подключений (48%), уязвимостями в стороннем программном обеспечении, установленном на облачных инстансах (26%) и утечкой учетных данных в проектах GitHub (4%).
|
Использование цели после компрометации |
Процент |
|
Майнинг криптовалют |
86% |
|
Сканирование целей для других кибер-атак |
10% |
|
Атаки на другие цели в Интернет |
8% |
|
Хостинг вредоносного ПО |
6% |
|
Хостинг нелегального контента |
4% |
|
Проведение DDoS-атак |
2% |
|
Рассылка спама |
2% |
Еще одной заметной атакой стала фишинговая кампания, запущенная хакерской группой APT28 (она же «Fancy Bear») в конце сентября 2021 года, которая включала рассылку электронных писем более чем 12 000 владельцам аккаунтов в США, Великобритании, Индии, Канаде, России, Бразилии и странах ЕС с целью кражи их учетных данных.
Кроме того, команда Google CAT заявила, что наблюдала, как злоумышленники злоупотребляют бесплатными облачными аккаунтами, используя пробные проекты и выдавая себя за поддельные стартапы, чтобы заниматься нагоном трафика на YouTube. В отдельном инциденте группа злоумышленников рассылала поддельные вакансии сотрудникам нескольких южнокорейских компаний по информационной безопасности, которые продают решения для защиты от вредоносного ПО, маскируясь под рекрутеров Samsung.
«Письма содержали PDF-файл, якобы содержащий описание вакансии в компании Samsung, однако PDF-файлы были неправильно сформированы и не открывались в стандартном PDF-ридере» - сообщили исследователи. «Когда адресаты отвечали, что не могут открыть описание вакансии, злоумышленники в ответ давали ссылку на вредоносное ПО, выдаваемое за «Secure PDF Reader», хранящееся на Google Drive.».
|
Использованные уязвимости |
Процент |
|
Слабые или отсутствующие пароли либо API без аутентификации |
48% |
|
Уязвимости стороннего ПО, развернутого в облачном сервисе |
26% |
|
Другое |
12% |
|
Неправильная конфигурация облака или стороннего ПО |
12% |
|
Утечка учетных данных, например опубликованные на GitHub ключи доступа |
4% |
Google связала эти атаки с той же хакерской группой, которая ранее в этом году атаковала специалистов по безопасности, работающих над исследованием уязвимостей, пыталась украсть эксплойты и организовать дальнейшие атаки на уязвимые цели по своему выбору.
«Ресурсы в облаке имеют преимущество высокой доступности и доступа «в любом месте и в любое время» - заявили в Google CAT. «Хотя облачные ресурсы упрощают работу, злоумышленники могут попытаться воспользоваться распределенной природой облака для компрометации облачных ресурсов. Несмотря на растущее внимание общественности к вопросам кибербезопасности, тактики целевого фишинга и социальной инженерии часто оказываются успешными».
Источник: https://thehackernews.com
