Google Drive & Dropbox: Mục tiêu của APT29, tập thể tin tặc Nga

Tập thể hack do nhà nước Nga bảo trợ có tên là APT29, đã được cho là thực hiện một chiến dịch lừa đảo mới tận dụng các dịch vụ đám mây như Google Drive và Dropbox để phân phối tải trọng lên các hệ thống bị xâm nhập.

Nhóm APT29 còn được gọi là Cosy Bear hay Nobelium đã áp dụng chiến lược mới này để tấn công nội dung của Google Drive và DropBox. Các tài liệu lừa đảo bao gồm một liên kết đến một tệp HTML độc hại, được sử dụng như một công cụ để đưa các tệp độc hại khác, bao gồm cả tải trọng Cobalt Strike, vào mạng mục tiêu.

Google và DropBox đã được Palo Alto Networks cảnh báo về hoạt động này và thực hiện các bước để hạn chế hoạt động này. Các tổ chức và chính phủ đã được các nhà nghiên cứu của Đơn vị 42 cảnh báo phải duy trì trạng thái cảnh giác cao độ.

Tất cả chủ tài khoản Drive hoặc DropBox nên chú ý hơn đến cách họ xác định, kiểm tra và chặn lưu lượng truy cập không mong muốn đến các nhà cung cấp dịch vụ lưu trữ đám mây để tránh truy cập độc hại.

APT29, còn được gọi là Cosy Bear, Cloaked Ursa hoặc The Dukes, là một tổ chức gián điệp mạng tìm cách thu thập thông tin tình báo và hỗ trợ các mục tiêu địa chính trị của Nga. APT29 cũng đã đột nhập vào chuỗi cung ứng của SolarWinds, gây rắc rối cho một số cơ quan liên bang Hoa Kỳ vào năm 2020.

Việc sử dụng các dịch vụ đám mây như Dropbox và Google Drive để lấy thêm tài liệu gián điệp mạng đã trở thành mục tiêu mới. Theo báo cáo, trong giai đoạn thứ hai của cuộc tấn công xảy ra vào cuối tháng 2022 năm XNUMX, kỹ thuật vi phạm để truy cập các dịch vụ đám mây đã được cải tiến hơn nữa.

Liên minh châu Âu “lên án hành vi kinh khủng này trên không gian mạng” và nhấn mạnh sự gia tăng các hành động thù địch trên mạng do người Nga gây ra. Trong một thông cáo báo chí, Hội đồng EU cho biết “sự gia tăng các hành động mạng độc hại này, trong bối cảnh cuộc chiến chống Ukraine, gây ra những rủi ro không thể chấp nhận được về tác động lan tỏa, hiểu sai và có thể leo thang”.

Ercole Palmeri: Người nghiện đổi mới