סיסקו: גידול במתקפות סייבר באמצעות שירות Google Cloud Run
במקרים רבים, זה נעשה באמצעות שימוש זדוני במתקינים של מיקרוסופט - כך לפי חוקרי מודיעין האיומים של סיסקו, Cisco Talos ● הגל הנוכחי החל באמריקה הלטינית, והולך ומתפשט
חלה עלייה משמעותית במתקפות סייבר ש-"משתמשות" בשירות Google Cloud Run. במקרים רבים, זה נעשה באמצעות שימוש זדוני במתקינים של מיקרוסופט – כך לפי חוקרי מודיעין האיומים של סיסקו, Cisco Talos.
מטרת מתקפות הסייבר, ציינו החוקרים, היא להפיץ כמויות גדולות של קמפיינים של נוזקות או של הונאה. לדבריהם, המתקפות, שהחלו באמריקה הלטינית, מתפשטות לשאר העולם.
"נעשה שימוש לרעה ב-Google Cloud Run בקמפיינים להפצת נוזקות בהיקף גבוה, תוך הפצת כמה סוסים טרויאניים בנקאיים, כגון Astaroth (הידוע גם בשם Guildma), וכן Mekotio ו-Ousaban – לעבר יעדים ברחבי אמריקה הלטינית ואירופה", ציינו החוקרים בדו"ח חדש.
לדבריהם, במקרים רבים, הנוזקה הוזרקה במשולב עם נוזקה החבויה במתקין (Installer) של מיקרוסופט, ואלה הוחדרו ישירות משירות הרשת של גוגל.
"שרשרות ההדבקה קשורות למשפחות נוזקות העושות שימוש במתקינים זדוניים של מיקרוסופט (MSI). אלה מתפקדים כ-'מטפטפים' או 'משחררי מטען' של נוזקות", נכתב בדו"ח.
"דרך זולה אך יעילה לפריסת תשתית שכוללת נוזקות"
Google Cloud Run הוא שירות המאפשר ללקוחות לבנות ולפרוס שירותי אינטרנט הממוקמים בתשתית של גוגל קלאוד. הוא מאפשר למשתמשים לפרוס את אותם שירותים, כמו גם לטפל בעומסי עבודה, ולעשות זאת בלא לטפל בהיבטי ניהול התשתית או יכולות הגידול וההרחבה.
לדברי החוקרים של Cisco Talos, "פושעי סייבר עלולים לראות ב-Google Cloud Run דרך זולה אך יעילה לפריסת תשתית שכוללת נוזקות". הם ציינו כי המגמה החדשה הובחנה בראשונה בספטמבר 2023. ההתקפות הראשונות היו של שחקני איום ברזילאים. אלה השיקו קמפיינים באמצעות אותם מתקינים נגועים של מיקרוסופט. הקמפיין הראשוני, ציינו החוקרים, התמקד בתריסר מדינות באמריקה הלטינית, והיה כתוב ברובו בספרדית. כעבור זמן מה, הקמפיין עבר לצפון אמריקה ולאירופה.
מתקפות סייבר ב-Google Cloud Run מתחילות בדרך כלל במייל פישינג שמכיל קישורים זדוניים, שמובילים לכך שגורמי האיום מקבלים שליטה. המיילים נשלחים עם נושאים שקשורים לחשבוניות, או מסמכים פיננסיים, והם נראים כאילו נשלחו ממחלקות גבייה ומיסוי של רשויות מקומיות. "כאשר קורבנות ניגשים לקישורים הללו, הם מופנים לשירותי האינטרנט של גוגל קלאוד. אלה כבר נפרסו על ידי גורמי האיום ומספקים את הרכיבים הדרושים לתחילת תהליך ההדבקה", הסבירו החוקרים.
חוקרי טאלוס יצרו קשר עם גוגל ועדכנו אותם על הפעילות הזדונית החדשה.
גוגל קלאוד מסרה בתגובה כי היא "הסירה את הקישורים הפוגעים ובודקת מה ניתן לעשות כדי לחזק את מאמצי ההגנה ולסייע במניעת פעילות מרושעת שכזו".
תגובות
(0)