Google Drive og Dropbox: Mål for APT29, russisk hacker-kollektiv

Det russiske statsstøttede hackerkollektivet kjent som APT29 har blitt tilskrevet en ny phishing-kampanje som utnytter skytjenester som Google Drive og Dropbox for å levere nyttelast til kompromitterte systemer.

APT29-gruppen også kjent som Cozy Bear eller Nobelium har omfavnet denne nye strategien for å angripe Google Drive og DropBox-innhold. Phishing-dokumentene inkluderte en lenke til en ondsinnet HTML-fil, som ble brukt som et verktøy for å introdusere andre ondsinnede filer, inkludert en Cobalt Strike-nyttelast, for å komme inn i målnettverket.

Google og DropBox har blitt varslet om transaksjonen av Palo Alto Networks og har tatt skritt for å begrense den. Organisasjoner og myndigheter har blitt advart av forskere fra enhet 42 om å opprettholde en høy beredskapstilstand.

Alle eiere av en Drive-konto eller en DropBox-konto bør være mer oppmerksom på hvordan de identifiserer, inspiserer og blokkerer uønsket trafikk til skylagringsleverandører, for å unngå ondsinnet tilgang.

APT29, også kjent som Cozy Bear, Cloaked Ursa eller The Dukes, er en cyberspionasjeorganisasjon som søker å samle informasjon og støtte Russlands geopolitiske mål. APT29 hacket seg også inn i SolarWinds forsyningskjeder, og forårsaket problemer for flere amerikanske føderale byråer i 2020.

Å bruke skytjenester som Dropbox og Google Drive for å skaffe ekstra cyberspionasjemateriale har blitt det nye målet. Ifølge rapporter ble hackingteknikken for å få tilgang til skytjenester ytterligere forbedret i den andre fasen av angrepet, som skjedde i slutten av mai 2022.

Den europeiske union "fordømmer denne forferdelige oppførselen i cyberspace" og fremhever økningen i fiendtlige cyberhandlinger utført av russerne. I en pressemelding uttalte EUs råd at «denne økningen i ondsinnede cyberhandlinger, i sammenheng med krigen mot Ukraina, utgjør utålelige risikoer for ringvirkninger, feiltolkninger og mulig eskalering».

Ercole Palmeri: Innovasjonsavhengig