Майнинг криптовалюты со взломанных Google-аккаунтов

30 ноября 2021 г. 10:15
 5428

Хакеры ненадлежащим образом используют защищенные экземпляры Google Cloud Platform.

Хакеры используют ненадлежащим образом защищенные экземпляры Google Cloud Platform (GCP) для установки майнеров криптовалюты на взломанные системы, а также для развертывания CnC-серверов шифровальщиков, проведения фишинговых кампаний и даже для генерации трафика на видеоролики YouTube с целью манипулирования количеством просмотров.

«Хотя клиенты облачных сервисов продолжают сталкиваться с различными угрозами для приложений и инфраструктуры, многие успешные атаки происходят из-за плохой гигиены и отсутствия базового контроля безопасности» - говорится в отчете «Threat Horizons», опубликованном на прошлой неделе исследовательской командой  Google Cybersecurity Action Team (CAT).

Из 50 недавно взломанных экземпляров GCP 86% были использованы для майнинга криптовалюты, в некоторых случаях майнер был уже в течение 22 секунд после успешного взлома, 10% экземпляров были использованы для сканирования других общедоступных узлов в Интернете с целью выявления уязвимых систем, а 8% экземпляров были использованы для нанесения ударов по другим организациям. Около 6% экземпляров GCP использовались для размещения вредоносного ПО.

В большинстве случаев несанкционированный доступ был связан с использованием слабых паролей или их отсутствием для учетных записей пользователей или API-подключений (48%), уязвимостями в стороннем программном обеспечении, установленном на облачных инстансах (26%) и утечкой учетных данных в проектах GitHub (4%).

Использование цели после компрометации

Процент

Майнинг криптовалют

86%

Сканирование целей для других кибер-атак

10%

Атаки на другие цели в Интернет

8%

Хостинг вредоносного ПО

6%

Хостинг нелегального контента

4%

Проведение DDoS-атак

2%

Рассылка спама

2%

Еще одной заметной атакой стала фишинговая кампания, запущенная хакерской группой APT28 (она же «Fancy Bear») в конце сентября 2021 года, которая включала рассылку электронных писем более чем 12 000 владельцам аккаунтов в США, Великобритании, Индии, Канаде, России, Бразилии и странах ЕС с целью кражи их учетных данных.

Кроме того, команда Google CAT заявила, что наблюдала, как злоумышленники злоупотребляют бесплатными облачными аккаунтами, используя пробные проекты и выдавая себя за поддельные стартапы, чтобы заниматься нагоном трафика на YouTube. В отдельном инциденте группа злоумышленников рассылала поддельные вакансии сотрудникам нескольких южнокорейских компаний по информационной безопасности, которые продают решения для защиты от вредоносного ПО, маскируясь под рекрутеров Samsung.

«Письма содержали PDF-файл, якобы содержащий описание вакансии в компании Samsung, однако PDF-файлы были неправильно сформированы и не открывались в стандартном PDF-ридере» - сообщили исследователи. «Когда адресаты отвечали, что не могут открыть описание вакансии, злоумышленники в ответ давали ссылку на вредоносное ПО, выдаваемое за «Secure PDF Reader», хранящееся на Google Drive.».

Использованные уязвимости

Процент

Слабые или отсутствующие пароли либо API без аутентификации

48%

Уязвимости стороннего ПО, развернутого в облачном сервисе

26%

Другое

12%

Неправильная конфигурация облака или стороннего ПО

12%

Утечка учетных данных, например опубликованные на GitHub ключи доступа

4%

Google связала эти атаки с той же хакерской группой, которая ранее в этом году атаковала специалистов по безопасности, работающих над исследованием уязвимостей, пыталась украсть эксплойты и организовать дальнейшие атаки на уязвимые цели по своему выбору.

«Ресурсы в облаке имеют преимущество высокой доступности и доступа «в любом месте и в любое время» - заявили в Google CAT. «Хотя облачные ресурсы упрощают работу, злоумышленники могут попытаться воспользоваться распределенной природой облака для компрометации облачных ресурсов. Несмотря на растущее внимание общественности к вопросам кибербезопасности, тактики целевого фишинга и социальной инженерии часто оказываются успешными».

Источник: https://thehackernews.com

Системы Информационной Безопасности