Uma campanha de hackers e espionagem cibernética está abusando de serviços de nuvem legítimos como parte de uma operação secreta para roubar informações confidenciais de alvos importantes.
Organizações em todo o mundo usam serviços em nuvem para realizar operações diárias, principalmente após a mudança para o trabalho híbrido. Os aplicativos em nuvem fornecem um meio simples de trabalhar, não importa onde o usuário esteja, algo que se tornou vital para os trabalhadores remotos.
No entanto, não são apenas as empresas e os funcionários que podem aproveitar os serviços em nuvem.
E de acordo com pesquisadores de segurança cibernética da Unidade 42 da Palo Alto Networksé exatamente isso que os hackers que trabalham em nome de um grupo de ameaças persistentes avançadas (APT) que eles chamam de Cloaked Ursa – também conhecido como APT29, Nobelium e Cozy Bear – estão fazendo.
VEJO: Uma estratégia vencedora para a cibersegurança (relatório especial ZDNet)
Acredita-se que o grupo esteja ligado ao Serviço de Inteligência Estrangeira da Rússia (SVR), responsável por vários grandes ataques cibernéticos, incluindo o ataque da cadeia de suprimentos contra a SolarWinds, o Hackeado pelo Comitê Nacional Democrata dos EUA (DNC)e campanhas de espionagem visando governos e embaixadas em todo o mundo.
Agora eles estão tentando usar serviços de nuvem legítimos, incluindo Google Drive e Dropbox – e já usaram essa tática como parte de ataques que ocorreram entre maio e junho deste ano.
Os ataques começam com e-mails de phishing enviados para alvos em embaixadas europeias, posando como convites para reuniões com embaixadores, completos com uma suposta agenda anexada em PDF.
O PDF é malicioso e, se funcionasse como pretendido, chamaria uma conta do Dropbox administrada pelos invasores para entregar secretamente o Cobalt Strike – uma ferramenta de teste de penetração popular entre os invasores maliciosos – ao dispositivo da vítima. No entanto, essa chamada inicial não teve sucesso no início deste ano, algo que os pesquisadores sugerem que se deve a políticas restritivas em redes corporativas sobre o uso de serviços de terceiros.
Mas os invasores se adaptaram, enviando e-mails de phishing semelhantes como uma segunda isca, mas usando a comunicação com as contas do Google Drive para ocultar suas ações e implantar o Cobalt Strike e cargas úteis de malware nos ambientes de destino. Parece que essa greve não foi bloqueada, provavelmente porque muitos locais de trabalho usam aplicativos do Google como parte das operações diárias, portanto, bloquear o Drive seria visto como ineficiente para a produtividade.
“Os invasores continuarão a inovar e encontrar maneiras de evitar a detecção para atingir seus objetivos. Usar o Google Drive e o DropBox é uma maneira de baixo custo de alavancar aplicativos confiáveis”, disse um pesquisador da Unit 42 ao ZDNet.
“Em termos simples, significa que você pode facilmente obter um número X de contas do Google gratuitamente e usá-las para coletar informações e hospedar malware. Você não precisa mais comprar sua infraestrutura C2 típica, que pode ser facilmente bloqueada.”
Como muitas campanhas dessa natureza, é provável que a intenção fosse usar malware para criar um backdoor em uma rede infectada e roubar informações confidenciais, seja para uso em novos ataques ou para serem exploradas de outras maneiras. A Unidade 42 não detalhou se as campanhas se infiltraram com sucesso nas redes ou não.
VEJA: Estas são as ameaças de segurança cibernética de amanhã nas quais você deve pensar hoje
A Unit 42 alertou tanto o Dropbox quanto o Google sobre abuso de seus serviços e medidas foram tomadas contra contas usadas como parte de ataques.
“O Grupo de Análise de Ameaças do Google acompanha de perto a atividade do APT29 e troca informações regularmente com outras equipes de inteligência de ameaças, como a Palo Alto Networks, para o bem do ecossistema. Nesse caso, estávamos cientes da atividade identificada neste relatório e já havíamos medidas proativas para proteger quaisquer alvos em potencial”, disse Shane Huntley, diretor sênior do Grupo de Análise de Ameaças do Google, ao ZDNet.
O ZDNet entrou em contato com o Dropbox, mas ainda não recebeu uma resposta no momento da publicação.
O uso de serviços em nuvem oferece muitos benefícios para empresas e funcionários, mas é importante garantir que a segurança de aplicativos e serviços em nuvem seja gerenciada adequadamente para evitar que essas ferramentas sejam exploradas por criminosos cibernéticos.
MAIS SOBRE CIBERSEGURANÇA
source – www.zdnet.com
