Исследователи предупредили, что APT29, также известная как Cozy Bear и Cloaked Ursa, злоупотребляет облачным хранилищем Google Drive для распространения вредоносных программ.
Ранее на этой неделе подразделение 42 (подразделение кибербезопасности Palo Alto Networks) обнаружило, что группа, предположительно поддерживаемая российским государством, использовала Google Диск для проведения двух кампаний, нацеленных на дипломатов и посольства в Португалии и Бразилии.
«Это новая тактика для этого субъекта, которую сложно обнаружить из-за повсеместного распространения этих услуг и того факта, что им доверяют миллионы клиентов по всему миру», — утверждает Unit 42.
«Когда использование доверенных сервисов сочетается с шифрованием, как мы видим здесь, организациям становится чрезвычайно сложно обнаружить вредоносную активность в связи с кампанией».
Как сообщает TechCrunchхотя это может быть первый раз, когда APT29 использует Google Диск, группа не привыкла злоупотреблять законными веб-сервисами для своих гнусных деяний.
Например, в мае этого года группа использовала Dropbox как часть своей инфраструктуры управления и контроля, вынудив компанию по обмену файлами закрыть свои учетные записи.
Unit 42 уведомил Google и Dropbox, которые, как сообщается, приняли меры. Пока Google не прокомментировал публично выводы.
APT29 — печально известная угроза в мире кибербезопасности, возможно, наиболее известная благодаря атаке SolarWinds. (откроется в новой вкладке). Именно APT29 использовала украденные учетные данные Microsoft 365 для компрометации инфраструктуры SolarWinds, а позже использовала доступ к сети, чтобы отравить обновление службы вредоносным ПО.
В итоге это обновление было установлено на конечных точках, принадлежащих десяткам тысяч компаний, а также в американских государственных учреждениях. Обычно это считается одной из самых разрушительных атак на цепочку поставок за все время.
Согласно с TechCrunchвнешнеполитическая служба ЕС также недавно предупредила всех о росте активности российских хакеров, особенно после вторжения в Украину.
«Это увеличение злонамеренной киберактивности в контексте войны против Украины создает неприемлемые риски побочных эффектов, неправильного толкования и возможной эскалации», — говорится в сообщении.
С помощью TechCrunch (откроется в новой вкладке)
