威胁行为者正在利用安全保护不当的谷歌云平台(GCP)实例,将加密货币挖掘软件下载到受损系统,并滥用其基础设施安装勒索软件,发起网络钓鱼活动,甚至为操纵浏览量生成YouTube视频流量。
谷歌网络安全行动小组(CAT)表示:“尽管云客户继续面临跨应用程序和基础架构的各种威胁,但许多成功的攻击都是由于卫生条件差和缺乏基本的控制实施。”概述作为上周发布的威胁地平线报告的一部分。
在最近泄露的50个GCP实例中,86%用于进行加密货币挖掘,在某些情况下,在成功泄露后的22秒内,10%的实例被利用来扫描互联网上其他可公开访问的主机,以识别易受攻击的系统,8%的实例用于攻击其他实体。大约6%的GCP实例用于托管恶意软件。
在大多数情况下,未经授权的访问是由于用户帐户或应用编程接口连接使用弱密码或无密码(48%)、安装在云实例上的第三方软件中的漏洞(26%)以及GitHub项目中的凭据泄漏(4%)。
另一个值得注意的攻击是Gmail网络钓鱼活动由APT28(又名花式熊)于2021年9月底推出复杂的向主要在美国、英国、印度、加拿大、俄罗斯、巴西和欧盟国家的12,000多名账户持有人发送电子邮件,目的是窃取他们的凭据。
此外,谷歌猫表示,它观察到对手滥用免费的云信用,使用试用项目,并冒充假初创公司参与向YouTube输送流量。在另一起事件中,一个由朝鲜政府支持的攻击团体伪装成三星招聘人员,向几家出售反恶意软件解决方案的韩国信息安全公司的员工发送虚假的工作机会。
“这些电子邮件包括一份据称是三星某职位工作描述的PDF然而,这些PDF格式不正确,不能在标准的PDF阅读器中打开,”研究人员说。“当目标回复说他们无法打开工作描述时,攻击者的回应是一个恶意软件的恶意链接,该恶意软件声称是存储在谷歌驱动器中的‘安全PDF阅读器’,现已被阻止。”
谷歌将这些攻击与之前的威胁行为联系起来将目光投向安全专业人士今年早些时候致力于漏洞研究和开发,以窃取漏洞并对他们选择的易受攻击目标发动进一步攻击。
谷歌CAT表示:“云托管的资源具有高可用性和‘随时随地’访问的优势。“虽然云托管资源简化了员工运营,但不良行为者可能会试图利用云无处不在的特性来损害云资源。尽管公众对网络安全越来越关注,但鱼叉式网络钓鱼和社会工程策略经常取得成功。”
