هکرها با بهره‌جویی از تنظیمات نادرست امنیتی در نشستهای پلتفرم ابری گوگل (GCP)، برای نصب بدافزار استخراج رمز ارز و باج‌افزار روی سیستم قربانیان ، راه اندازی پویش‌های فیشینگ و ایجاد ترافیک برای ویدیوهای یوتیوب استفاده کردند.

شرکت امنیتی Threat Horizons در گزارش خود چنین نوشت : ” با وجود اینکه کاربران فضاهای ابری با طیف گسترده‌ای از تهدیدات در اپلیکیشن‌ها و زیرساخت‌ها روبرو هستند، اما عامل اصلی اغلب حملات موفق به دلیل عدم پیاده‌سازی سیستم مدیریتی پایه و عدم توجه به استانداردهای امنیتی می‌باشد” .

از میان ۵۰ نشستی که به تازگی مورد حمله قرار گرفته‌اند، ۸۶% برای نصب بدافزار استخراج رمزارز مورد استفاده قرار گرفته‌اند.  جالب اینجاست که در برخی موارد تنها ۲۲ ثانیه پس از ورود به نشست این بدافزار نصب و راه اندازی شده است. ۱۰% از این نشست‌ها برای اسکن دیگر  هاست‌های قابل دسترس مورد استفاده قرار گرفته، ۸% از آنها برای حمله به دیگر سیستم ها استفاده شده و ۶% برای انتشار بدافزار مورد بهره‌جویی قرار گرفته است.

در بسیاری از این حملات (۴۸%)، عدم به‌کارگیری رمز یا استفاده از رمزهای ضعیف عامل اصلی دسترسی به سیستم اعلام شده است. در ۲۶% از موارد نیز وجود آسیب‌پذیری در اپلیکیشن‌های سوم شخص منجر به نفوذ هکرها شده است.

یکی از مهم‌ترین حملاتی که در این بین صورت گرفته، حمله گروه APT28 موسوم به خرس فانتزی بوده که در اواخر سپتامبر رخ داد. در این حمله به بیش از ۱۲۰۰۰ حساب ایمیل فیشینگ ارسال شده که هدف از آن سرقت اطلاعات ورود به حساب کاربران بوده است. اغلب این حسابها در آمریکا، انگلستان، روسیه، برزیل، کانادا و هند قرار داشتند.

همچنین به گفته گوگل، چند گروه با استفاده از پروژه‌های رایگان این شرکت برای استارتاپی ها، موجب افزایش ترافیک به ویدیو‌های یوتیوب شدند. در حمله‌ای دیگر از سوی گروه وابسته به دولت کره‌شمالی، هکرها خود را به عنوان استخدام کنندگان سامسونگ معرفی کرده و به کارمندان شرکت‌های امنیتی در کره جنوبی که در زمینه فروش نرم‌افزارهای ضد ویروس فعالیت داشتند، ایمیل فیشینگ ارسال کردند.

در این ایمیل به قربانیان گفته شده بود که اطلاعات مربوط به موقعیت شغلی در شرکت سامسونگ، در فایل PDF پیوست شده قرار دارد. اما این فایل دستکاری شده بود و هنگام باز کردن آن با برنامه‌های عادی امکان پذیر نبود. برای قربانیانی که به این ایمیل پاسخ داده و از بازنشدن فایل در ایمیلشان صحبت می‌کردند، لینکی ارسال می‌شد تا برنامه‌ای موسوم به PDF ریدر امن را نصب کنند. اما در واقع این نام فقط پوششی برای مخفی کردن بدافزار اصلی بوده که در  گوگل درایو نیز قرار داده شده بود. این لینک در حال حاضر مسدود شده است.

نظرات

نظر (به‌وسیله فیس‌بوک)