Οι φορείς απειλών χρησιμοποιούν όλο και περισσότερο αξιόπιστες πλατφόρμες δικτύων παροχής cloud και περιεχομένου για να φιλοξενήσουν κιτ phishing, δημιουργώντας μεγάλες προκλήσεις ανίχνευσης για τις ομάδες ασφαλείας.
Σε αντίθεση με τις παραδοσιακές καμπάνιες ηλεκτρονικού ψαρέματος που βασίζονται σε πρόσφατα εγγεγραμμένους ύποπτους τομείς, αυτές οι επιθέσεις χρησιμοποιούν νόμιμη υποδομή από παρόχους όπως η Google, το Microsoft Azure και το AWS CloudFront.
Αυτή η προσέγγιση επιτρέπει στους χάκερ να παρακάμψουν πολλά φίλτρα ασφαλείας επειδή οι τομείς φαίνονται αξιόπιστοι με την πρώτη ματιά.
Η στροφή προς την υποδομή phishing που βασίζεται σε σύννεφο αντιπροσωπεύει μια ανησυχητική εξέλιξη στις επιθέσεις κοινωνικής μηχανικής.
Τα θύματα συναντούν γνωστά ονόματα τομέα από γνωστές εταιρείες τεχνολογίας, με αποτέλεσμα να είναι πιο πιθανό να εισαγάγουν ευαίσθητα διαπιστευτήρια.
Τα εργαλεία παρακολούθησης δικτύου δυσκολεύονται επίσης να επισημάνουν αυτές τις δραστηριότητες, καθώς βλέπουν συνηθισμένο περιεχόμενο HTML να φορτώνεται από καθιερωμένες υπηρεσίες cloud και όχι ύποπτα μοτίβα επισκεψιμότητας.
Αυτή η τεχνική στοχεύει συγκεκριμένα εταιρικούς χρήστες σε διάφορες καμπάνιες, φιλτράροντας δωρεάν λογαριασμούς email για να επικεντρωθεί στα εταιρικά διαπιστευτήρια.
Any.Run ερευνητές αναγνωρισθείς αυτό το αυξανόμενο μοτίβο κατά την ανάλυση πολλαπλών οικογενειών κιτ phishing. Η ανάλυση αποκάλυψε ότι το κιτ phishing Tycoon λειτουργεί από το Microsoft Azure Blob Storage, χρησιμοποιώντας συγκεκριμένα το domain alencure[.]άμορφη μάζα[.]πυρήνας[.]παράθυρα[.]καθαρά.
Το κιτ phishing Sneaky2FA βρέθηκε στο Firebase Cloud Storage στο firebasestorage[.]googleapis[.]com και AWS CloudFront στο cloudfront[.]net, χρησιμοποιώντας ψεύτικες σελίδες σύνδεσης του Microsoft 365 για τη συλλογή διαπιστευτηρίων εταιρικού λογαριασμού.
Το κιτ phishing του EvilProxy αξιοποιεί τους Ιστότοπους Google σε ιστότοπους[.]google[.]com για να φιλοξενήσει τις κακόβουλες σελίδες του.
Προκλήσεις ανίχνευσης και απόκρισης
Οι ομάδες ασφαλείας αντιμετωπίζουν μοναδικά εμπόδια όταν ασχολούνται με υποδομές phishing που φιλοξενούνται στο cloud.
Οι παραδοσιακοί έλεγχοι φήμης τομέα αποτυγχάνουν επειδή οι ίδιες οι πλατφόρμες φιλοξενίας είναι νόμιμες υπηρεσίες που χρησιμοποιούνται από αμέτρητους οργανισμούς για έγκυρους σκοπούς.
Οι περισσότεροι προμηθευτές ασφάλειας ταξινομούν αυτούς τους τομείς cloud ως ασφαλείς, κάτι που είναι τεχνικά ακριβές. Η κακόβουλη δραστηριότητα υπάρχει στο περιεχόμενο που εξυπηρετείται και όχι στην ίδια την υποδομή.
Η λύση απαιτεί ανάλυση συμπεριφοράς και όχι απλούς ελέγχους τομέα. Οι πλατφόρμες ασφαλείας πρέπει να εξετάσουν τον τρόπο με τον οποίο οι χρήστες αλληλεπιδρούν με αυτές τις σελίδες που φιλοξενούνται στο cloud και να εντοπίζουν ύποπτα μοτίβα σε πραγματικό χρόνο.
Το Any.Run Sandbox επιδεικνύει αυτή την ικανότητα εκθέτοντας αυτές τις απειλές σε λιγότερο από 60 δευτερόλεπτα, μειώνοντας τόσο τον μέσο χρόνο εντοπισμού όσο και τον μέσο χρόνο απόκρισης.
Οι οργανισμοί θα πρέπει να εφαρμόζουν αναζητήσεις πληροφοριών απειλών που αναζητούν συγκεκριμένα μοτίβα κατάχρησης στις πλατφόρμες Microsoft Azure Blob Storage, Firebase Cloud Storage και Google Sites.
Οι σχετικοί δείκτες συμβιβασμού περιλαμβάνουν το mphdvh[.]icu, kamitore[.]com, aircospascual[.]com και Lustefea[.]μου[.]ταυτότητα.
