پایگاه دانش آلما / سیمانتک افزایش تهدیدات سایبری، چگونه با استفاده از فضای ابری به سازمان شما حمله می کنند؟

افزایش تهدیدات سایبری، چگونه با استفاده از فضای ابری به سازمان شما حمله می کنند؟

افزایش تهدیدات سایبری، چگونه با استفاده از فضای ابری به سازمان شما حمله می کنند؟

بررسی یافته‌های جدید تیم تهدیدات سیمانتک

در سال‌های اخیر، سرویس‌های ابری به بخش جدایی‌ناپذیری از زیرساخت‌های فناوری اطلاعات سازمان‌ها تبدیل شده‌اند. این سرویس‌ها امکان ذخیره‌سازی و انتقال داده‌ها را آسان و کم‌هزینه می‌کنند. با این حال، مهاجمان سایبری نیز از این مزیت‌ها بهره‌برداری کرده و از این بسترها برای انجام حملات پیچیده و پنهان استفاده می‌کنند. در سال گذشته، سیمانتک رشد چشم‌گیری در استفاده مهاجمان از سرویس‌های ابری مانند Microsoft OneDrive و Google Drive مشاهده کرده است. این مهاجمان، به خصوص عوامل تهدید دولت-ملت‌ها، با استفاده از این سرویس‌های معتبر به حملات خود ادامه می‌دهند.

 

این مقاله به بررسی چندین حمله اخیر که توسط تیم شکار تهدیدات سیمانتک شناسایی شده است، می‌پردازد و نشان می‌دهد که چگونه این حملات با بهره‌گیری از سرویس‌های ابری انجام شده‌اند.

 

سوءاستفاده از APIهای گراف مایکروسافت

سیمانتک اخیراً سه عملیات جاسوسی را شناسایی کرده است که در آنها مهاجمان از APIهای گراف مایکروسافت برای ارتباط با سرورهای فرماندهی و کنترل (C&C) استفاده کرده‌اند. GoGra یکی از جدیدترین بدافزارهایی است که در نوامبر 2023 علیه یک سازمان رسانه‌ای در جنوب آسیا استفاده شد. این بدافزار که به زبان Go نوشته شده است، از Microsoft Graph API برای ارتباط با سرورهای خود استفاده می‌کند.

 

از این طریق، GoGra پیام‌های ایمیل را با استفاده از یک الگوریتم AES-256 رمزگشایی کرده و سپس دستورها را از طریق cmd.exe اجرا می‌کند. ارتباط با سرور از طریق نام کاربری رمزگذاری‌شده‌ای انجام می‌شود و نتایج به همان روش رمزنگاری شده و ارسال می‌شوند. این بدافزار به یک گروه تهدید دولت‌محور موسوم به Harvester نسبت داده شده است که در سال 2021 توسط سیمانتک شناسایی شد.

 

استفاده از Google Drive برای استخراج اطلاعات

در حمله‌ای دیگر، گروه جاسوسی Firefly از ابزار استخراجی جدیدی برای سرقت اطلاعات از یک سازمان نظامی در جنوب شرق آسیا استفاده کرده است. این ابزار با استفاده از یک توکن رفرش در Google Drive فایل‌های موجود در سیستم قربانی را بارگذاری کرده است. تحلیل‌های سیمانتک نشان داد که بسیاری از فایل‌های سرقت‌شده در قالب فایل‌های RAR رمزگذاری‌شده بودند که به نظر می‌رسد حاوی اطلاعات حساس مانند اسناد، یادداشت‌های جلسات و طرح‌های ساختاری بودند.

 

بدافزار Grager: یک درب پشتی جدید

در آوریل 2024، سیمانتک بدافزاری به نام Grager را شناسایی کرد که توسط گروه‌های تهدید در تایوان، هنگ‌کنگ و ویتنام مورد استفاده قرار گرفت. این بدافزار که از طریق یک URL جعلی 7-Zip منتشر شد، از Microsoft OneDrive به عنوان سرور فرماندهی و کنترل استفاده کرده است. Grager توسط ابزارهای دیگری مانند Tonerjam که پیش‌تر توسط سیمانتک شناسایی شده بود، فعال شد.

 

این بدافزار از Microsoft Graph API استفاده می‌کند و دستورهایی مانند جمع‌آوری اطلاعات سیستم، بارگذاری و دانلود فایل‌ها، و اجرای فایل‌ها را از سرورهای C&C دریافت می‌کند. بررسی‌ها نشان می‌دهد که این ابزار احتمالاً توسط یک گروه مرتبط با UNC5330 توسعه داده شده است.

 

MoonTag: بدافزار جدید در حال توسعه

در هفته‌های اخیر، نمونه‌هایی از یک بدافزار در حال توسعه به نام MoonTag توسط سیمانتک شناسایی شده است. این بدافزار که هنوز به مرحله تکمیل نرسیده، ارتباطاتی با گروه‌های تهدید چینی دارد و از APIهای گراف مایکروسافت برای برقراری ارتباط با سرورهای خود استفاده می‌کند. سیمانتک با بررسی این نمونه‌ها توانسته است الگوهای مشابهی با دیگر بدافزارهای مورد استفاده گروه Sabre Panda مشاهده کند.

 

افزایش حملات ابری: یک روند در حال رشد

استفاده از سرویس‌های ابری برای کنترل و فرماندهی حملات سایبری، تکنیکی نسبتاً جدید نیست، اما تعداد گروه‌هایی که از این روش استفاده می‌کنند به طرز چشم‌گیری افزایش یافته است. سه سال پیش، گروه جاسوسی Vedalia (وابسته به کره شمالی) با بدافزار BlueLight این روش را آغاز کرد و به دنبال آن سیمانتک در سال 2021 بدافزار Graphon را شناسایی کرد که از همین تکنیک بهره می‌برد. در سال 2023، گروه‌های روسی مانند APT28 با بدافزار Graphite از این روش استفاده کردند و حملاتی علیه سازمان‌های بین‌المللی انجام دادند.

 

تهدیدات جدید: BirdyClient و Onedrivetools

در ماه مه 2024، سیمانتک بدافزاری به نام BirdyClient را کشف کرد که از API گراف مایکروسافت برای ارتباط با سرورهای C&C خود استفاده می‌کرد. این بدافزار در حمله‌ای علیه یک سازمان در اوکراین مورد استفاده قرار گرفت.

 

علاوه بر آن، بدافزار Onedrivetools که علیه شرکت‌های خدمات فناوری اطلاعات در اروپا و آمریکا مورد استفاده قرار گرفته، به عنوان یک بدافزار چندمرحله‌ای شناخته می‌شود. این بدافزار ابتدا یک فایل از GitHub دریافت کرده و سپس فایل‌هایی را به OneDrive آپلود می‌کند که وضعیت عفونت سیستم قربانی را نشان می‌دهد.

 

در ادامه، این بدافزار در یک حلقه پیوسته به دستورهای جدید پاسخ می‌دهد و فایل‌های لازم را بارگذاری و دانلود می‌کند.

 

تکامل تهدیدات سایبری با استفاده از سرویس‌های ابری:

با توجه به گزارش سیمانتک و شواهد اخیر، واضح است که مهاجمان سایبری در حال بهره‌گیری از سرویس‌های ابری برای مخفی کردن فعالیت‌های خود و افزایش اثربخشی حملاتشان هستند. استفاده از سرویس‌های معتبر مانند Microsoft OneDrive و Google Drive به آنها امکان می‌دهد تا بدون جلب توجه، داده‌های حساس را سرقت کنند و از دسترسی مراجع امنیتی به زیرساخت‌های خود جلوگیری کنند.

 

این روند رو به رشد نشان‌دهنده نیاز به روش‌های جدیدتر و پیشرفته‌تر برای محافظت از زیرساخت‌های ابری سازمان‌ها است. با افزایش تعداد مهاجمانی که از این تکنیک‌ها استفاده می‌کنند، لازم است که سازمان‌ها از ابزارهای امنیتی پیشرفته‌تر و نظارت دقیق‌تری برای مقابله با این تهدیدات استفاده کنند. آلما شبکه ارائه دهنده راه حل های امنیتی فضای کلود بر پایه محصولات سیمانتک می باشد.

بازخوردها
    مطالب مرتبط