黑客利用受損的谷歌云賬戶“挖礦”

威脅行為者正在利用安全保護不當的谷歌云平臺(GCP)實例，將加密貨幣挖掘軟件下載到受損系統，并濫用其基礎設施安裝勒索軟件，發起網絡釣魚活動，甚至為操縱瀏覽量生成YouTube視頻流量。

谷歌網絡安全行動小組(CAT)表示:“盡管云客戶繼續面臨跨應用程序和基礎架構的各種威脅，但許多成功的攻擊都是由于衛生條件差和缺乏基本的控制實施。”概述作為上周發布的威脅地平線報告的一部分。

在最近泄露的50個GCP實例中，86%用于進行加密貨幣挖掘，在某些情況下，在成功泄露后的22秒內，10%的實例被利用來掃描互聯網上其他可公開訪問的主機，以識別易受攻擊的系統，8%的實例用于攻擊其他實體。大約6%的GCP實例用于托管惡意軟件。

在大多數情況下，未經授權的訪問是由于用戶帳戶或應用編程接口連接使用弱密碼或無密碼(48%)、安裝在云實例上的第三方軟件中的漏洞(26%)以及GitHub項目中的憑據泄漏(4%)。

另一個值得注意的攻擊是Gmail網絡釣魚活動由APT28(又名花式熊)于2021年9月底推出復雜的向主要在美國、英國、印度、加拿大、俄羅斯、巴西和歐盟國家的12，000多名賬戶持有人發送電子郵件，目的是竊取他們的憑據。

此外，谷歌貓表示，它觀察到對手濫用免費的云信用，使用試用項目，并冒充假初創公司參與向YouTube輸送流量。在另一起事件中，一個由朝鮮政府支持的攻擊團體偽裝成三星招聘人員，向幾家出售反惡意軟件解決方案的韓國信息安全公司的員工發送虛假的工作機會。

“這些電子郵件包括一份據稱是三星某職位工作描述的PDF然而，這些PDF格式不正確，不能在標準的PDF閱讀器中打開，”研究人員說。“當目標回復說他們無法打開工作描述時，攻擊者的回應是一個惡意軟件的惡意鏈接，該惡意軟件聲稱是存儲在谷歌驅動器中的‘安全PDF閱讀器’，現已被阻止。”

谷歌將這些攻擊與之前的威脅行為聯系起來將目光投向安全專業人士今年早些時候致力于漏洞研究和開發，以竊取漏洞并對他們選擇的易受攻擊目標發動進一步攻擊。

谷歌CAT表示:“云托管的資源具有高可用性和‘隨時隨地’訪問的優勢。“雖然云托管資源簡化了員工運營，但不良行為者可能會試圖利用云無處不在的特性來損害云資源。盡管公眾對網絡安全越來越關注，但魚叉式網絡釣魚和社會工程策略經常取得成功。”