Araştırmacılar, Cozy Bear ve Cloaked Ursa olarak da bilinen APT29’un kötü amaçlı yazılım dağıtmak için bulut depolama hizmeti Google Drive’ı kötüye kullandığı konusunda uyardı.
Bu haftanın başlarında, Unit 42 (Palo Alto Networks’ün siber güvenlik kolu), iddiaya göre Rus devleti tarafından desteklenen grubun, Portekiz ve Brezilya’daki diplomatları ve büyükelçilikleri hedef alan iki kampanyayı kolaylaştırmak için Google Drive’ı kullandığını keşfetti.
Unit 42, “Bu, bu aktör için yeni bir taktik ve bu hizmetlerin her yerde bulunması ve dünya çapında milyonlarca müşteri tarafından güvenilmesi nedeniyle tespit edilmesi zor olan bir taktik” diyor.
“Güvenilir hizmetlerin kullanımı şifreleme ile birleştiğinde, burada gördüğümüz gibi, kuruluşların kampanyayla bağlantılı kötü niyetli faaliyetleri tespit etmesi son derece zorlaşıyor.”
tarafından bildirildiği gibi TechCrunchbu APT29’un Google Drive’ı özel olarak ilk kullanışı olsa da, grup meşru web hizmetlerini hain eylemleri için kötüye kullanmaya yabancı değil.
Örneğin, bu yılın Mayıs ayında grup, komuta ve kontrol altyapısının bir parçası olarak Dropbox’ı kullandı ve dosya paylaşım şirketini hesaplarını kapatmaya zorladı.
Unit 42, her ikisinin de harekete geçtiği bildirilen Google ve Dropbox’ı bilgilendirdi. Şimdiye kadar Google, bulgular hakkında halka açık bir yorum yapmadı.
APT29, siber güvenlik dünyasında kötü şöhretli bir tehdit aktörüdür ve belki de en çok SolarWinds saldırısıyla tanınır. (yeni sekmede açılır). SolarWinds’in altyapısını tehlikeye atmak için çalınan Microsoft 365 kimlik bilgilerini kullanan ve daha sonra bir hizmet güncellemesini kötü amaçlı yazılımla zehirlemek için ağa erişimi kullanan APT29’du.
Bu güncelleme, Amerikan devlet kurumlarının yanı sıra on binlerce şirkete ait uç noktalara yüklendi. Genellikle tüm zamanların en yıkıcı tedarik zinciri saldırılarından biri olarak kabul edilir.
Göre TechCrunchAB dış servisi de son zamanlarda, özellikle Ukrayna’nın işgalinden bu yana, Rus bilgisayar korsanlarının artan faaliyetleri konusunda herkesi uyardı.
“Ukrayna’ya karşı savaş bağlamında kötü niyetli siber faaliyetlerdeki bu artış, yayılma etkileri, yanlış yorumlama ve olası tırmanış için kabul edilemez riskler yaratıyor” dedi.
Aracılığıyla TechCrunch (yeni sekmede açılır)