Die Arbeitsplatzumgebung nach der Pandemie hat die Netzwerksicherheitslandschaft erheblich verändert. Unternehmen verlassen sich für ihre täglichen Aufgaben zunehmend auf Cloud-Speicherlösungen wie Google Drive und Dropbox.
Cloud-Speicherdienste bieten eine einfache und sichere Möglichkeit, die Anforderungen von Remote-Mitarbeitern zu erfüllen. Aber nicht nur Unternehmen und Arbeitnehmer nutzen diese Dienste. Hacker finden Wege, das Vertrauen in Cloud-Dienste zu nutzen und ihre Angriffe extrem schwer zu erkennen.
Wie passiert es? Lass es uns herausfinden!
Wie verwenden Hacker Cloud-Speicherdienste, um einer Entdeckung zu entgehen?
Obwohl verschlüsselte Cloud-Speicherdienste normalerweise von Benutzern als vertrauenswürdig eingestuft werden, kann es für Unternehmen äußerst schwierig sein, böswillige Aktivitäten zu erkennen. Mitte Juli 2022 haben Forschende der Palo Alto-Netzwerke entdeckte böswillige Aktivitäten, die Cloud-Dienste einer Gruppe namens Cloaked Ursa – auch bekannt als APT29 und Cozy Bear – nutzten.
Die Gruppe soll Verbindungen zur russischen Regierung haben und für Cyberangriffe gegen das US Democratic National Committee (DNC) und die 2020 verantwortlich sein SolarWinds-Lieferketten-Hack. Es ist auch an mehreren Cyberspionagekampagnen gegen Regierungsbeamte und Botschaften auf der ganzen Welt beteiligt.
Die nächste Kampagne beinhaltet die Verwendung legitimer Cloud-Speicherlösungen wie Google Drive und Dropbox, um ihre Aktivitäten abzuschirmen. So führt die Gruppe diese Angriffe durch.
Der Modus Operandi des Angriffs
Der Angriff beginnt mit Phishing-E-Mails, die an hochkarätige Ziele in europäischen Botschaften gesendet werden. Es gibt sich als Einladung zu Treffen mit Botschaftern aus und enthält eine vermeintliche Tagesordnung in einem schädlichen PDF-Anhang.
Der Anhang enthält eine schädliche HTML-Datei (EnvyScout), die in Dropbox gehostet werden und die Übermittlung anderer schädlicher Dateien, einschließlich einer Cobalt-Strike-Payload, an das Gerät des Benutzers erleichtern würden.
Forscher spekulieren, dass der Empfänger zunächst nicht auf die Datei in Dropbox zugreifen konnte, wahrscheinlich aufgrund restriktiver Regierungsrichtlinien für Anwendungen von Drittanbietern. Die Angreifer waren jedoch schnell zu schicken eine zweite Spear-Phishing-E-Mail mit einem Link zu der schädlichen HTML-Datei.
Anstatt Dropbox zu verwenden, verlassen sich die Hacker jetzt auf die Speicherdienste von Google Drive, um ihre Aktionen zu verbergen und Payloads an die Zielumgebung zu liefern. Diesmal wurde der Streik nicht blockiert.
Warum wurde die Bedrohung nicht blockiert?
Es scheint, dass inzwischen viele Arbeitsplätze auf Google-Anwendungen, einschließlich Drive, angewiesen sind ihren täglichen Betrieb zu führen, wird das Blockieren dieser Dienste in der Regel als ineffizient angesehen Produktivität.
Die Allgegenwärtigkeit von Cloud-Diensten und das Vertrauen der Kunden in sie machen diese neue Bedrohung äußerst schwierig oder sogar unmöglich zu erkennen.
Was ist der Zweck des Angriffs?
Wie bei vielen Cyberangriffen scheint die Absicht zu sein, Malware zu verwenden und eine Hintertür zu einem infizierten Netzwerk zu erstellen, um vertrauliche Daten zu stehlen.
Unit 42 des Palo Alto Network hat sowohl Google Drive als auch Dropbox auf den Missbrauch ihrer Dienste aufmerksam gemacht. Es wurde berichtet, dass geeignete Maßnahmen gegen Konten ergriffen wurden, die an den böswilligen Aktivitäten beteiligt waren.
So schützen Sie sich vor Cloud-Cyberangriffen
Da sich die meisten Anti-Malware- und Erkennungstools mehr auf heruntergeladene Dateien als auf Dateien in der Cloud konzentrieren, wenden sich Hacker jetzt Cloud-Speicherdiensten zu, um eine Erkennung zu vermeiden. Obwohl solche Phishing-Versuche nicht leicht zu erkennen sind, gibt es Maßnahmen, die Sie ergreifen können, um die Risiken zu mindern.
- Aktivieren Sie die Multi-Faktor-Authentifizierung für Ihre Konten: Selbst wenn auf diese Weise Benutzeranmeldeinformationen abgerufen werden, benötigt der Hacker weiterhin Zugriff auf das Gerät, das auch die Multi-Faktor-Validierung durchführt.
- Wende an Privileg des kleinsten Prinzips: Ein Benutzerkonto oder Gerät benötigt nur genügend Zugriff, der für einen bestimmten Fall erforderlich ist.
- Widerrufen Sie den übermäßigen Zugriff auf sensible Informationen: Sobald einem Benutzer Zugriff auf eine Anwendung gewährt wurde, denken Sie daran, diese Berechtigungen zu widerrufen, wenn der Zugriff nicht mehr benötigt wird.
Was ist der Schlüssel zum Mitnehmen?
Cloud-Storage-Dienste waren für Unternehmen ein enormer Wendepunkt, um Ressourcen zu optimieren, Abläufe zu rationalisieren, Zeit zu sparen und einige Sicherheitsaufgaben von ihrem Teller zu nehmen.
Aber wie aus Angriffen wie diesen hervorgeht, haben Hacker begonnen, die Cloud-Infrastruktur zu nutzen, um Angriffe zu entwickeln, die schwerer zu erkennen sind. Die schädliche Datei könnte in Microsoft OneDrive, Amazon AWS oder einem anderen Cloud-Speicherdienst gehostet worden sein.
Es ist wichtig, diesen neuen Bedrohungsvektor zu verstehen, aber der schwierige Teil besteht darin, Kontrollen einzurichten, um ihn zu erkennen und darauf zu reagieren. Und es scheint, dass sogar die dominierenden Spieler in der Technologie damit zu kämpfen haben.
