Den post-pandemiska arbetsmiljön har medfört betydande förändringar i nätverkssäkerhetslandskapet. Organisationer har börjat lita mer på molnlagringslösningar, som Google Drive och Dropbox, för att utföra sin dagliga verksamhet.
Molnlagringstjänster ger ett enkelt och säkert sätt att tillgodose behoven hos en fjärranställd arbetsstyrka. Men det är inte bara företag och anställda som drar nytta av dessa tjänster. Hackare hittar sätt att utnyttja förtroendet för molntjänster och göra deras attacker extremt svåra att upptäcka.
Hur går det till? Låt oss ta reda på!
Hur använder hackare molnlagringstjänster för att undvika upptäckt?
Även om krypterade molnlagringstjänster vanligtvis litar på av användare, kan det vara extremt svårt för företag att upptäcka skadlig aktivitet. I mitten av juli 2022, forskare vid Palo Alto Networks upptäckte skadlig aktivitet som utnyttjade molntjänster av en grupp som heter Cloaked Ursa – även känd som APT29 och Cozy Bear.
Gruppen tros ha kopplingar till den ryska regeringen och är ansvarig för cyberattacker mot USA: s demokratiska nationella kommitté (DNC) och 2020
SolarWinds supply chain hack. Det är också involverat i flera cyberspionagekampanjer mot regeringstjänstemän och ambassader runt om i världen.Dess nästa kampanj innebär att använda legitima molnlagringslösningar som Google Drive och Dropbox för att skydda sina aktiviteter. Här är hur gruppen genomför dessa attacker.
Attackens Modus Operandi
Attacken börjar med nätfiske-e-postmeddelanden som skickas ut till högprofilerade mål på europeiska ambassader. Den utger sig som inbjudningar till möten med ambassadörer och kommer med en förmodad agenda i en skadlig PDF-bilaga.
Bilagan innehåller en skadlig HTML-fil (EnvyScout) värd i Dropbox som skulle underlätta leveransen av andra skadliga filer, inklusive en Cobalt Strike-nyttolast till användarens enhet.
Forskare spekulerar i att mottagaren från början inte kunde komma åt filen i Dropbox, förmodligen på grund av restriktiva regeringspolicyer för tredjepartsapplikationer. Angriparna var dock snabba att skicka ett andra nätfiske-e-postmeddelande med en länk till den skadliga HTML-filen.
Istället för att använda Dropbox förlitar sig hackarna nu på Google Drive-lagringstjänster för att dölja sina handlingar och leverera nyttolaster till målmiljön. Den här gången blockerades inte strejken.
Varför blockerades inte hotet?
Det verkar som att eftersom många arbetsplatser nu förlitar sig på Googles applikationer, inklusive Drive bedriva sin dagliga verksamhet, att blockera dessa tjänster brukar ses som ineffektivt att produktivitet.
Molntjänsternas allestädes närvarande karaktär och kundernas förtroende för dem gör detta nya hot extremt utmanande eller till och med omöjligt att upptäcka.
Vad är syftet med attacken?
Liksom många cyberattacker verkar det som om avsikten var att använda skadlig programvara och skapa en bakdörr till ett infekterat nätverk för att stjäla känslig data.
Enhet 42 på Palo Alto Network har varnat både Google Drive och Dropbox om missbruk av deras tjänster. Det har rapporterats att lämpliga åtgärder vidtogs mot konton som var inblandade i den skadliga aktiviteten.
Hur man skyddar sig mot molncyberattacker
Eftersom de flesta anti-malware och upptäcktsverktyg fokuserar mer på nedladdade filer istället för filer i molnet, vänder sig nu hackare till molnlagringstjänster för att undvika upptäckt. Även om sådana nätfiskeförsök inte är lätta att upptäcka, finns det åtgärder du kan vidta för att minska riskerna.
- Aktivera multifaktorautentisering för dina konton: Även om användaruppgifter erhålls på detta sätt, skulle hackaren fortfarande kräva åtkomst till enheten som också utför multifaktorvalideringen.
- Applicera Minsta principens privilegium: Ett användarkonto eller en enhet behöver bara tillräckligt med åtkomst för ett specifikt fall.
- Återkalla överdriven åtkomst till känslig information: När en användare har beviljats åtkomst till ett program, kom ihåg att återkalla dessa privilegier när åtkomsten inte längre behövs.
Vad är nyckeln?
Molnlagringstjänster har varit en enorm spelförändring för organisationer för att optimera resurser, effektivisera driften, spara tid och ta bort visst säkerhetsansvar.
Men som framgår av attacker som dessa har hackare börjat utnyttja molninfrastrukturen för att skapa attacker som är svårare att upptäcka. Den skadliga filen kan ha varit värd i Microsoft OneDrive, Amazon AWS eller någon annan molnlagringstjänst.
Det är viktigt att förstå denna nya hotvektor, men det svåra är att sätta kontroller på plats för att upptäcka och svara på den. Och det verkar som att även de dominerande aktörerna inom tekniken kämpar med det.