/ / Cách tin tặc Nga sử dụng Google Drive và Dropbox để trốn tránh sự phát hiện

Cách tin tặc Nga sử dụng Google Drive và Dropbox để trốn tránh sự phát hiện

Môi trường làm việc sau đại dịch đã mang lại những thay đổi đáng kể cho bối cảnh an ninh mạng. Các tổ chức đã bắt đầu dựa nhiều hơn vào các giải pháp lưu trữ đám mây, như Google Drive và Dropbox, để thực hiện các hoạt động hàng ngày của họ.

Dịch vụ lưu trữ đám mây cung cấp một cách đơn giản và an toàn để đáp ứng nhu cầu của lực lượng lao động từ xa. Nhưng không chỉ các doanh nghiệp và nhân viên đang tận dụng các dịch vụ này. Tin tặc đang tìm cách tận dụng lòng tin vào các dịch vụ đám mây và khiến các cuộc tấn công của chúng trở nên cực kỳ khó bị phát hiện.

Nó xảy ra như thế nào? Hãy cùng tìm hiểu!

Làm thế nào để tin tặc sử dụng dịch vụ lưu trữ đám mây để tránh bị phát hiện?

Mặc dù các dịch vụ lưu trữ đám mây được mã hóa thường được người dùng tin cậy nhưng các công ty có thể cực kỳ khó phát hiện ra hoạt động độc hại. Vào giữa tháng 7 năm 2022, các nhà nghiên cứu tại Palo Alto Networks đã phát hiện ra hoạt động độc hại lợi dụng các dịch vụ đám mây của một nhóm có tên Cloaked Ursa — còn được gọi là APT29 và Cozy Bear.

Nhóm này được cho là có mối liên hệ với chính phủ Nga và chịu trách nhiệm về các cuộc tấn công mạng nhằm vào Ủy ban Quốc gia Dân chủ Mỹ (DNC) và vụ hack chuỗi cung ứng SolarWinds năm 2020. Nó cũng tham gia vào một số chiến dịch gián điệp mạng chống lại các quan chức chính phủ và đại sứ quán trên khắp thế giới.


Chiến dịch tiếp theo của nó liên quan đến việc sử dụng các giải pháp lưu trữ đám mây hợp pháp như Google Drive và Dropbox để bảo vệ các hoạt động của họ. Đây là cách nhóm tiến hành các cuộc tấn công này.

Modus Operandi của cuộc tấn công

Cuộc tấn công bắt đầu với các email lừa đảo được gửi đến các mục tiêu cao cấp tại các đại sứ quán châu Âu. Nó giả dạng như lời mời đến các cuộc họp với các đại sứ và đi kèm với một chương trình nghị sự được cho là trong một tệp đính kèm PDF độc hại.

Tệp đính kèm chứa tệp HTML độc hại (EnvyScout) được lưu trữ trong Dropbox sẽ tạo điều kiện cho việc phân phối các tệp độc hại khác, bao gồm cả tải trọng Cobalt Strike tới thiết bị của người dùng.

Các nhà nghiên cứu suy đoán rằng ban đầu người nhận không thể truy cập tệp trong Dropbox, có thể do các chính sách hạn chế của chính phủ đối với các ứng dụng của bên thứ ba. Tuy nhiên, những kẻ tấn công đã nhanh chóng gửi một email lừa đảo thứ hai với liên kết đến tệp HTML độc hại.

Thay vì sử dụng Dropbox, các tin tặc hiện dựa vào dịch vụ lưu trữ Google Drive để ẩn các hành động của chúng và chuyển tải trọng đến môi trường mục tiêu. Lần này, cuộc đình công không bị chặn.

Tại sao mối đe dọa không bị chặn?

Có vẻ như vì nhiều nơi làm việc hiện đang dựa vào các ứng dụng của Google, bao gồm cả Drive, để thực hiện các hoạt động hàng ngày của họ, nên việc chặn các dịch vụ này thường được coi là không hiệu quả đối với năng suất.

Bản chất phổ biến của các dịch vụ đám mây và sự tin tưởng của khách hàng đối với chúng khiến mối đe dọa mới này trở nên vô cùng thách thức hoặc thậm chí không thể phát hiện được.

Mục đích của Cuộc tấn công là gì?

Giống như nhiều cuộc tấn công mạng khác, có vẻ như mục đích là sử dụng phần mềm độc hại và tạo một cửa hậu vào một mạng bị nhiễm để đánh cắp dữ liệu nhạy cảm.

Đơn vị 42 thuộc Mạng lưới Palo Alto đã cảnh báo cả Google Drive và Dropbox về việc lạm dụng dịch vụ của họ. Có báo cáo rằng hành động thích hợp đã được thực hiện đối với các tài khoản liên quan đến hoạt động độc hại.

Cách bảo vệ chống lại các cuộc tấn công mạng trên đám mây

Vì hầu hết các công cụ phát hiện và chống phần mềm độc hại tập trung nhiều hơn vào các tệp đã tải xuống thay vì tệp trên đám mây, nên các tin tặc hiện đang chuyển sang các dịch vụ lưu trữ đám mây để tránh bị phát hiện. Mặc dù những nỗ lực lừa đảo như vậy không dễ bị phát hiện, nhưng bạn có thể thực hiện các bước để giảm thiểu rủi ro.

  • Bật xác thực đa yếu tố cho tài khoản của bạn: Ngay cả khi thông tin đăng nhập của người dùng được lấy theo cách này, tin tặc vẫn sẽ yêu cầu quyền truy cập vào thiết bị thực hiện xác thực đa yếu tố.
  • Áp dụng Nguyên tắc Đặc quyền Ít nhất: Tài khoản người dùng hoặc thiết bị chỉ cần có đủ quyền truy cập cần thiết cho một trường hợp cụ thể.
  • Thu hồi quyền truy cập quá mức vào thông tin nhạy cảm: Sau khi người dùng được cấp quyền truy cập vào một ứng dụng, hãy nhớ thu hồi các đặc quyền đó khi quyền truy cập không còn cần thiết nữa.

Chìa khóa mấu chốt là gì?

Các dịch vụ lưu trữ đám mây đã là một công cụ thay đổi cuộc chơi rất lớn cho các tổ chức để tối ưu hóa tài nguyên, hợp lý hóa hoạt động, tiết kiệm thời gian và loại bỏ một số trách nhiệm bảo mật khỏi mảng của họ.

Nhưng rõ ràng là từ các cuộc tấn công như thế này, tin tặc đã bắt đầu tận dụng cơ sở hạ tầng đám mây để tạo ra các cuộc tấn công khó bị phát hiện hơn. Tệp độc hại có thể đã được lưu trữ trong Microsoft OneDrive, Amazon AWS hoặc bất kỳ dịch vụ lưu trữ đám mây nào khác.

Hiểu được vectơ mối đe dọa mới này là quan trọng, nhưng phần khó là đặt các biện pháp kiểm soát để phát hiện và ứng phó với nó. Và có vẻ như ngay cả những người chơi thống trị trong lĩnh vực công nghệ cũng đang phải vật lộn với nó.

Bài viết liên quan:

  1. Cách dùng photoshop. Sử dụng mặt nạ lớp Layer mask.
  2. CÁCH DÙNG HÀM SUBTOTAL | HOW TO USE SUBTOTAL IN EXCEL 2013/2016
  3. Cách khắc phục lỗi trang dữ liệu nhân trong Windows 11
  4. Chế độ ban đêm so với Chế độ tối trên Brave: Một so sánh

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *