Yeni araştırmaya göre, Rus düşmanları işletmelere ve hükümetlere kötü amaçlı yazılım sağlamak için Google Drive ve DropBox gibi güvenilir bulut hizmetlerinden yararlanıyor.
Palo Alto Networks Unit 42’deki araştırmacılar, tehdit aktörü Cloaked Ursula’nın (diğer adıyla Rus hükümeti bağlantılı APT29 veya Cozy Bear), saldırıların tespit edilmesini ve önlenmesini zorlaştırdığı için çevrimiçi depolama hizmetlerini giderek daha fazla kullandığını yazdı.
Mayıs ve Haziran 2022 arasında çeşitli Batılı diplomatik misyonları ve yabancı büyükelçilikleri hedef aldıklarına inanılıyor. Son kampanyalarda kötü amaçlı yazılım, bir büyükelçiyle yapılacak bir toplantının gündemi olarak maskelendi. Bu belgeler, bir Kobalt Strike yükü de dahil olmak üzere hedef ağdaki ek kötü amaçlı dosyalar için bir damlalık görevi gören kötü amaçlı bir HTML dosyasına bağlantı içeriyordu.
Palo Alto Networks, etkinliği, onu engellemek için çalışan DropBox ve Google’a açıkladı. Ayrıca kuruluşları ve hükümetleri yüksek teyakkuzda olmaları konusunda uyardılar.
Araştırmacılar şunları söyledi: “Google Drive bulut depolama hizmetlerinin her yerde bulunan doğası – dünya çapında milyonlarca müşterinin bunlara duyduğu güven ile birleştiğinde – bu APT’nin kötü amaçlı yazılım teslim sürecine dahil edilmelerini son derece endişe verici kılıyor.” Cozy Bear, kötü amaçlı yazılım dağıtmak için daha önce meşru bulut hizmetlerini kullanmıştı, ancak en son iki kampanya, Google Drive bulut depolama hizmetlerinden ilk kez yararlandı.
Araştırmacılara göre, güvenilir bulut hizmetlerinin kullanımı şifreleme ile birleştiğinde kuruluşların kötü amaçlı faaliyetleri tespit etmesi “son derece zor”.