De postpandemische werkomgeving heeft aanzienlijke veranderingen teweeggebracht in het netwerkbeveiligingslandschap. Organisaties zijn meer gaan vertrouwen op cloudopslagoplossingen, zoals Google Drive en Dropbox, om hun dagelijkse activiteiten uit te voeren.
Cloudopslagservices bieden een eenvoudige en veilige manier om tegemoet te komen aan de behoeften van externe medewerkers. Maar het zijn niet alleen bedrijven en werknemers die gebruik maken van deze diensten. Hackers vinden manieren om het vertrouwen in cloudservices te benutten en maken hun aanvallen extreem moeilijk te detecteren.
Hoe gebeurt het? Laten we het uitzoeken!
Hoe gebruiken hackers cloudopslagservices om detectie te voorkomen?
Hoewel gebruikers doorgaans op versleutelde cloudopslagdiensten vertrouwen, kan het voor bedrijven extreem moeilijk zijn om kwaadaardige activiteiten te detecteren. Medio juli 2022 hebben onderzoekers van de Palo Alto Networks ontdekte kwaadaardige activiteiten die gebruikmaken van cloudservices door een groep genaamd Cloaked Ursa, ook bekend als APT29 en Cosy Bear.
De groep wordt verondersteld banden te hebben met de Russische regering en is verantwoordelijk voor cyberaanvallen tegen het US Democratic National Committee (DNC) en de 2020 SolarWinds supply chain-hack. Het is ook betrokken bij verschillende cyberspionagecampagnes tegen overheidsfunctionarissen en ambassades over de hele wereld.
De volgende campagne omvat het gebruik van legitieme cloudopslagoplossingen zoals Google Drive en Dropbox om hun activiteiten af te schermen. Hier is hoe de groep deze aanvallen uitvoert.
De modus operandi van de aanval
De aanval begint met phishing-e-mails die worden verzonden naar prominente doelen op Europese ambassades. Het doet zich voor als uitnodigingen voor vergaderingen met ambassadeurs en wordt geleverd met een vermeende agenda in een kwaadaardige PDF-bijlage.
De bijlage bevat een kwaadaardig HTML-bestand (EnvyScout) gehost in Dropbox die de levering van andere kwaadaardige bestanden zou vergemakkelijken, waaronder een Cobalt Strike-payload naar het apparaat van de gebruiker.
Onderzoekers speculeren dat de ontvanger aanvankelijk geen toegang had tot het bestand in Dropbox, waarschijnlijk als gevolg van restrictief overheidsbeleid ten aanzien van applicaties van derden. De aanvallers stuurden echter snel een tweede spear phishing-e-mail met een link naar het kwaadaardige HTML-bestand.
In plaats van Dropbox te gebruiken, vertrouwen de hackers nu op Google Drive-opslagservices om hun acties te verbergen en payloads aan de doelomgeving te leveren. Deze keer werd de staking niet geblokkeerd.
Waarom werd de dreiging niet geblokkeerd?
Het lijkt erop dat, aangezien veel werkplekken nu afhankelijk zijn van Google-applicaties, waaronder de Drive, om hun dagelijkse activiteiten uitvoeren, wordt het blokkeren van deze diensten meestal als inefficiënt beschouwd om productiviteit.
Het alomtegenwoordige karakter van clouddiensten en het vertrouwen van de klanten in hen maken deze nieuwe dreiging uiterst uitdagend of zelfs onmogelijk te detecteren.
Wat is het doel van de aanval?
Zoals bij veel cyberaanvallen, lijkt het erop dat het de bedoeling was om malware te gebruiken en een achterdeur op een geïnfecteerd netwerk te creëren om gevoelige gegevens te stelen.
Unit 42 van het Palo Alto Network heeft zowel Google Drive als Dropbox gewaarschuwd voor misbruik van hun diensten. Er is gemeld dat er passende maatregelen zijn genomen tegen accounts die betrokken zijn bij de kwaadaardige activiteit.
Hoe te beschermen tegen cyberaanvallen in de cloud
Omdat de meeste antimalware- en detectietools zich meer richten op gedownloade bestanden in plaats van bestanden in de cloud, wenden hackers zich nu tot cloudopslagservices om detectie te voorkomen. Hoewel dergelijke phishing-pogingen niet gemakkelijk te detecteren zijn, zijn er stappen die u kunt nemen om de risico's te beperken.
- Schakel multi-factor authenticatie in voor uw accounts: Zelfs als gebruikersreferenties op deze manier worden verkregen, heeft de hacker nog steeds toegang nodig tot het apparaat dat ook de multifactorvalidatie uitvoert.
- Pas de toe Voorrecht van het minste principe: Een gebruikersaccount of apparaat heeft alleen voldoende toegang nodig voor een specifiek geval.
- Overmatige toegang tot gevoelige informatie intrekken: Als een gebruiker eenmaal toegang tot een toepassing heeft gekregen, vergeet dan niet om die rechten in te trekken wanneer de toegang niet langer nodig is.
Wat is de belangrijkste afhaalmaaltijd?
Cloudopslagservices zijn een enorme doorbraak geweest voor organisaties om middelen te optimaliseren, activiteiten te stroomlijnen, tijd te besparen en een aantal beveiligingsverantwoordelijkheden van hun bord te nemen.
Maar zoals blijkt uit aanvallen als deze, zijn hackers begonnen met het gebruik van cloudinfrastructuur om aanvallen uit te voeren die moeilijker te detecteren zijn. Het kwaadaardige bestand kan zijn gehost in Microsoft OneDrive, Amazon AWS of een andere cloudopslagservice.
Het is belangrijk om deze nieuwe dreigingsvector te begrijpen, maar het moeilijkste is om controles in te stellen om deze te detecteren en erop te reageren. En het lijkt erop dat zelfs de dominante spelers in tech ermee worstelen.