هکرها با بهرهجویی از تنظیمات نادرست امنیتی در نشستهای پلتفرم ابری گوگل (GCP)، برای نصب بدافزار استخراج رمز ارز و باجافزار روی سیستم قربانیان ، راه اندازی پویشهای فیشینگ و ایجاد ترافیک برای ویدیوهای یوتیوب استفاده کردند.
شرکت امنیتی Threat Horizons در گزارش خود چنین نوشت : ” با وجود اینکه کاربران فضاهای ابری با طیف گستردهای از تهدیدات در اپلیکیشنها و زیرساختها روبرو هستند، اما عامل اصلی اغلب حملات موفق به دلیل عدم پیادهسازی سیستم مدیریتی پایه و عدم توجه به استانداردهای امنیتی میباشد” .
از میان ۵۰ نشستی که به تازگی مورد حمله قرار گرفتهاند، ۸۶% برای نصب بدافزار استخراج رمزارز مورد استفاده قرار گرفتهاند. جالب اینجاست که در برخی موارد تنها ۲۲ ثانیه پس از ورود به نشست این بدافزار نصب و راه اندازی شده است. ۱۰% از این نشستها برای اسکن دیگر هاستهای قابل دسترس مورد استفاده قرار گرفته، ۸% از آنها برای حمله به دیگر سیستم ها استفاده شده و ۶% برای انتشار بدافزار مورد بهرهجویی قرار گرفته است.
در بسیاری از این حملات (۴۸%)، عدم بهکارگیری رمز یا استفاده از رمزهای ضعیف عامل اصلی دسترسی به سیستم اعلام شده است. در ۲۶% از موارد نیز وجود آسیبپذیری در اپلیکیشنهای سوم شخص منجر به نفوذ هکرها شده است.
یکی از مهمترین حملاتی که در این بین صورت گرفته، حمله گروه APT28 موسوم به خرس فانتزی بوده که در اواخر سپتامبر رخ داد. در این حمله به بیش از ۱۲۰۰۰ حساب ایمیل فیشینگ ارسال شده که هدف از آن سرقت اطلاعات ورود به حساب کاربران بوده است. اغلب این حسابها در آمریکا، انگلستان، روسیه، برزیل، کانادا و هند قرار داشتند.
همچنین به گفته گوگل، چند گروه با استفاده از پروژههای رایگان این شرکت برای استارتاپی ها، موجب افزایش ترافیک به ویدیوهای یوتیوب شدند. در حملهای دیگر از سوی گروه وابسته به دولت کرهشمالی، هکرها خود را به عنوان استخدام کنندگان سامسونگ معرفی کرده و به کارمندان شرکتهای امنیتی در کره جنوبی که در زمینه فروش نرمافزارهای ضد ویروس فعالیت داشتند، ایمیل فیشینگ ارسال کردند.
در این ایمیل به قربانیان گفته شده بود که اطلاعات مربوط به موقعیت شغلی در شرکت سامسونگ، در فایل PDF پیوست شده قرار دارد. اما این فایل دستکاری شده بود و هنگام باز کردن آن با برنامههای عادی امکان پذیر نبود. برای قربانیانی که به این ایمیل پاسخ داده و از بازنشدن فایل در ایمیلشان صحبت میکردند، لینکی ارسال میشد تا برنامهای موسوم به PDF ریدر امن را نصب کنند. اما در واقع این نام فقط پوششی برای مخفی کردن بدافزار اصلی بوده که در گوگل درایو نیز قرار داده شده بود. این لینک در حال حاضر مسدود شده است.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.