Google Çarşamba günü finansal motivasyona sahip bir tehdit aktörüne ışık tuttu ÜÇLÜGÜÇ Cryptojacking ve şirket içi fidye yazılımı saldırıları için bulut ortamlarını fırsatçı bir şekilde hedeflemesi nedeniyle.
Teknoloji devinin bulut bölümü 11. Tehdit Ufukları Raporunda “Bu aktör, ele geçirilen bulut kaynakları üzerinde kripto para birimi madenciliği operasyonları ve fidye yazılımı faaliyetleri de dahil olmak üzere çeşitli tehdit faaliyetlerine girişti.” dedi.
TRIPLESTRENGTH, yasa dışı kripto para birimi madenciliği, fidye yazılımı ve gaspın yanı sıra Google Cloud, Amazon Web Services, Microsoft Azure, Linode, OVHCloud ve Digital Ocean gibi çeşitli bulut platformlarına diğer tehdit aktörlerine reklam erişimi de dahil olmak üzere bir dizi kötü niyetli saldırı gerçekleştiriyor.
Hedef bulut örneklerine ilk erişim, bazıları Raccoon bilgi hırsızı enfeksiyon günlüklerinden kaynaklanan çalıntı kimlik bilgileri ve çerezler aracılığıyla kolaylaştırılır. Ele geçirilen ortamlar daha sonra kripto para madenciliği için bilgi işlem kaynakları oluşturmak amacıyla kötüye kullanılıyor.
Kampanyanın sonraki sürümlerinin, madencilik amacıyla büyük bilgi işlem kaynakları oluşturmak amacıyla saldırganın kontrol ettiği hesapları kurbanın bulut projesinde faturalandırma kişileri olarak davet etmek için yüksek ayrıcalıklı hesaplardan yararlandığı ortaya çıktı.
Kripto para madenciliği, hedef sisteme bağlı olarak hem CPU hem de GPU için optimize edilmiş madencilik algoritmaları kullanılarak, madencilik yapılamayan madencilik havuzunun yanı sıra unMiner uygulaması kullanılarak gerçekleştirilir.
Belki de alışılmadık bir şekilde, TRIPLESTRENGTH’in fidye yazılımı dağıtım operasyonları, Phobos, RCRU64 ve LokiLocker gibi dolaplar kullanılarak bulut altyapısı yerine şirket içi kaynaklara odaklandı.
Google Cloud, “Hacklemeye odaklanan Telegram kanallarında, TRIPLESTRENGTH ile bağlantılı aktörler hizmet olarak RCRU64 fidye yazılımı için reklamlar yayınladılar ve ayrıca ortaklardan fidye yazılımı ve şantaj operasyonlarında işbirliği yapmalarını istediler.” dedi.
Mayıs 2024’teki bir RCRU64 fidye yazılımı olayında, tehdit aktörlerinin ilk erişimi uzak masaüstü protokolü aracılığıyla elde ettikleri, ardından fidye yazılımını çeşitli ana bilgisayarlarda yürütmek için yanal hareket ve antivirüs savunmasından kaçınma adımlarını gerçekleştirdikleri söyleniyor.
TRIPLESTRENGTH’in ayrıca Telegram’da barındırma sağlayıcılarına ve bulut platformlarına ait olanlar da dahil olmak üzere güvenliği ihlal edilmiş sunuculara erişim reklamı yaptığı da gözlemlendi.
Google, hesabın ele geçirilmesi riskini önlemek için çok faktörlü kimlik doğrulamayı (MFA) uygulayarak ve hassas faturalandırma işlemlerini işaretlemek için gelişmiş günlük kaydı sunarak bu faaliyetlere karşı adımlar attığını söyledi.
Teknoloji devi, “Çalınan tek bir kimlik bilgisi, saldırganların hem şirket içi hem de buluttaki uygulamalara ve verilere erişmesine izin vererek zincirleme bir reaksiyon başlatabilir” dedi.
“Bu erişim, uzaktan erişim hizmetleri yoluyla altyapıyı tehlikeye atmak, MFA’yı manipüle etmek ve sonraki sosyal mühendislik saldırıları için güvenilir bir varlık oluşturmak için daha da kötüye kullanılabilir.”