Los actores de amenazas explotan instancias inseguras de Google Cloud Platform (GCP) para descargar software de criptomonedas en sistemas comprometidos y explotar su infraestructura de instalación de ransomware, realizar campañas de phishing e incluso generar tráfico de video en YouTube para manipular las vistas.
«Si bien los clientes de la nube continúan enfrentando diversas amenazas en las aplicaciones y la infraestructura, muchos ataques exitosos se deben a una higiene deficiente y una implementación deficiente del control básico», describió el Equipo de Acción de Ciberseguridad (CAT) de Google en un informe reciente de Threat Horizons. la semana pasada.
De las 50 instancias de GCP comprometidas recientemente, el 86 % se usó para realizar minería de criptomonedas, en algunos casos dentro de los 22 segundos de una intrusión exitosa, mientras que el 10 % de las instancias se usó incorrectamente para escanear otros hosts disponibles públicamente en Internet para su identificación. sistemas vulnerables y el 8% de los casos se utilizaron para atacar a otras entidades. Alrededor del 6 % de las instancias de GCP se utilizaron para alojar el malware.
En la mayoría de los casos, el acceso no autorizado se atribuyó al uso de contraseñas débiles o inexistentes para cuentas de usuario o conexiones API (48 %), vulnerabilidades de software de terceros instalado en instancias en la nube (26 %) y pérdida de inicio de sesión en GitHub. proyectos (4%).
Otro ataque notable fue un Campaña de phishing de Gmail lanzó APT28 (también conocido como Fancy Bear) a fines de septiembre de 2021 e implicó enviar correos electrónicos a más de 12,000 titulares de cuentas principalmente en los EE. UU., Reino Unido, India, Canadá, Rusia, Brasil y países de la UE para robar sus credenciales.
Google CAT agregó que observó a los opositores que hicieron un mal uso de los créditos gratuitos en la nube a través de proyectos de prueba y se hicieron pasar por nuevas empresas falsas para atraer el tráfico de YouTube. En un incidente separado, un grupo de atacantes respaldados por el gobierno de Corea del Norte se hicieron pasar por reclutadores de Samsung para enviar oportunidades de trabajo falsas a los empleados de varias empresas de seguridad de la información de Corea del Sur que venden soluciones antimalware.
«Los correos electrónicos contenían un PDF que supuestamente tenía una descripción del trabajo para el rol de Samsung; sin embargo, los PDF estaban mal formados y no se abrían en un lector de PDF estándar», dijeron los investigadores. «Cuando los objetivos respondieron que no podían abrir la descripción de la tarea, los atacantes respondieron con un enlace malicioso a un malware que pretendía ser un ‘Lector de PDF seguro’ almacenado en Google Drive, que ahora ha sido bloqueado».
Google ha combinado los ataques con el mismo actor de amenazas que, a principios de este año, apuntó a los profesionales de la seguridad que trabajan en la investigación y el desarrollo de vulnerabilidades para robar exploits y lanzar más ataques contra los objetivos vulnerables de su elección.
«Los recursos alojados en la nube tienen la ventaja de una alta disponibilidad y acceso ‘en cualquier lugar, en cualquier momento'», dijo Google CAT. «Si bien los recursos alojados en la nube simplifican las operaciones de la fuerza laboral, los malos jugadores pueden intentar usar la naturaleza omnipresente de la nube para comprometer los recursos de la nube. A pesar de la creciente atención pública a la seguridad cibernética, las tácticas de ingeniería social y phishing suelen tener éxito».
