Veriti tarafından yapılan son araştırmalar, siber güvenlik konusunda rahatsız edici bir eğilim ortaya çıkardı: kötü niyetli aktörler, kötü amaçlı yazılım dağıtmak ve komut ve kontrol (C2) sunucularını çalıştırmak için bulut altyapısını giderek daha fazla kullanıyor.
Taktiklerdeki bu değişim, tespit için önemli zorluklar sunar ve kuruluşları güvenlik risklerini artırır.
Bulut yanlış yapılandırmaları Saldırganlar için kapıları açın
Çalışma, ağların% 40’ından fazlasının en az bir büyük bulut sağlayıcısı ile sınırsız “herhangi bir/herhangi bir” iletişime izin verdiğini ortaya koymaktadır.
Bu yanlış yapılandırma, tehdit aktörlerinin saldırgan kontrollü bulut örneklerine verileri sunmalarını ve güvenilir bulut hizmetlerinden kötü amaçlı yükler dağıtmalarını sağlayarak kullanıcıları kötü amaçlı yazılımları indirmeye yönlendiren savunmasız bir saldırı yüzeyi oluşturur.
Araştırmacılar, yük dağıtım için bulut depolamasını kötüye kullanan birden fazla kötü amaçlı yazılım kampanyası belirlediler.
Dikkate değer bir örnek, kötü amaçlı yürütülebilir dosyasını dağıtmak için Amazon Web Services (S3) depolamasını kullanan Xworm kampanyasıdır.
Başka bir kampanya, öncelikle Mısır’daki kurbanları hedefleyen CVE-2017-11882 ve CVE-2017-0199 güvenlik açıklarından yararlanan kötü niyetli RTF dosyaları kullanıldı.
Komut ve kontrol merkezleri olarak yeniden tasarlanan bulut platformları
Kötü amaçlı yazılım barındırmasının ötesinde, araştırma bulut platformlarının sıklıkla C2 sunucuları olarak kullanıldığını ve rakiplerin enfekte olmuş sistemleri uzaktan kontrol etmesine izin verdiğini ortaya çıkardı.
C2 iletişimleri için AWS, Google Cloud, Microsoft Azure ve Alibaba Cloud gibi sağlayıcılardan bulut altyapısı kullanılarak Havoc kötü amaçlı yazılım, NetsupportManager, UNAM Miner ve Hookbot dahil olmak üzere çeşitli kötü amaçlı yazılım aileleri gözlendi.
Özellikle ilgili bir gelişme, C2’nin bulut tabanlı saldırılarda artan kullanımıdır.
Başlangıçta penetrasyon testi için geliştirilen bu açık kaynaklı komuta ve kontrol çerçevesi, gizli C2 operasyonları ve sömürü sonrası taktikler için gelişmiş kalıcı tehdit (APT) grupları da dahil olmak üzere tehdit aktörleri tarafından silahlandırılıyor.
Araştırma ayrıca, büyük sağlayıcılar arasında bulut barındıran hizmetleri etkileyen kritik güvenlik açıklarını belirleyerek güçlü bulut güvenlik önlemlerine duyulan ihtiyacı daha da vurguladı.
Bu riskleri azaltmak için kuruluşlara “herhangi bir/herhangi bir” ağ kuralını kısıtlamaları, tehdit izleme için bulut-doğal güvenlik çözümlerini uygulamaları ve kapsamlı bulut güvenlik politikalarını uygulamaları tavsiye edilir.
Bulut tabanlı tehditlerin manzarası gelişmeye devam ettikçe, proaktif güvenlik önlemleri ve bulut ortamlarının sürekli değerlendirilmesi, dijital varlıklarını korumak ve güçlü bir güvenlik duruşunu korumak isteyen kuruluşlar için zorunlu hale gelmiştir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free