Los actores de amenazas están explotando instancias de Google Cloud Platform (GCP) con seguridad inadecuada para descargar software de minería de criptomonedas en los sistemas comprometidos, además de abusar de su infraestructura para instalar ransomware, organizar campañas de phishing e incluso generar tráfico a videos de YouTube para manipular el recuento de vistas.
«Si bien los clientes de la nube continúan enfrentándose a una variedad de amenazas en las aplicaciones y la infraestructura, muchos ataques exitosos se deben a una falta de higiene y una falta de implementación de control básico», señaló el Equipo de Acción de Ciberseguridad (CAT) de Google como parte de su reciente informe Threat Horizons publicado la semana pasada.
De las 50 instancias de GCP comprometidas recientemente, el 86% de ellas se utilizaron para realizar minería de criptomonedas, en algunos casos dentro de los 22 segundos posteriores a la infracción exitosa, mientras que el 10% de las instancias se explotaron para realizar escaneos de otros hosts de acceso público en Internet para identificar sistemas vulnerables, y el 8% de las instancias se utilizaron para atacar a otras entidades. Aproximadamente el 6% de las instancias de GCP se utilizaron para alojar software malicioso.
En la mayoría de los casos, el acceso no autorizado se atribuyó al uso de contraseñas débiles o inexistentes para cuentas de usuario o conexiones API (48%), vulnerabilidades en software de terceros instalado en las instancias en la nube (26%) y fuga de credenciales en GitHub. proyectos (4%).
Otro ataque notable fue una campaña de phishing de Gmail lanzada por APT28 (también conocido como Fancy Bear) hacia fines de septiembre de 2021 que implicó el envío de un correo electrónico masivo a más de 12,000 titulares de cuentas principalmente en los EE. UU., Reino Unido, India, Canadá, Rusia, Brasil y las naciones de la UE con el objetivo de robar sus credenciales.
Además, Google CAT dijo que observó a los adversarios abusando de los créditos gratuitos de la nube mediante el uso de proyectos de prueba y haciéndose pasar por startups falsas para generar tráfico en YouTube. En otro incidente, un grupo de atacantes respaldado por el gobierno de Corea del Norte se hizo pasar por reclutadores de Samsung para enviar oportunidades de trabajo falsas a los empleados de varias empresas de seguridad de la información de Corea del Sur que venden soluciones antimalware.
«Los correos electrónicos incluían un PDF que supuestamente afirmaba ser una descripción de trabajo para un puesto en Samsung; sin embargo, los PDF tenían un formato incorrecto y no se abrían en un lector de PDF estándar», dijeron los investigadores. «Cuando los objetivos respondieron que no podían abrir la descripción del trabajo, los atacantes respondieron con un enlace malicioso a malware que pretendía ser un ‘lector de PDF seguro’ almacenado en Google Drive que ahora ha sido bloqueado».
Google conectó los ataques con el mismo actor de amenazas que previamente puso su mirada en los profesionales de seguridad que trabajaban en investigación y desarrollo de vulnerabilidades a principios de este año para robar exploits y organizar más ataques contra objetivos vulnerables de su elección.
«Los recursos alojados en la nube tienen el beneficio de una alta disponibilidad y acceso ‘en cualquier lugar y en cualquier momento'», dijo Google CAT. «Si bien los recursos alojados en la nube agilizan las operaciones de la fuerza laboral, los malos actores pueden intentar aprovechar la naturaleza omnipresente de la nube para comprometer los recursos de la nube. A pesar de la creciente atención del público a la ciberseguridad, las tácticas de spear-phishing y de ingeniería social suelen tener éxito».
