Zurück 
Einer der Vorteile der Ausnutzung eines Cloud-Dienstes zum Hosten der Angriffsinfrastruktur besteht darin, dass die Bedrohungsakteure entweder ein legitimes kompromittiertes Konto verwenden oder ein neues Konto speziell für ihre böswilligen Zwecke erstellen können.
Laut Forschern von Microsoft wurde dieser Modus Operandi von APT33 (auch bekannt als "Peach Sandstorm") verwendet, einem Bedrohungsakteur, von dem angenommen wird, dass er im Auftrag des Korps der iranischen Revolutionsgarden (IRGC) in seiner jüngsten Kampagne operiert, die zwischen April und Juli 2024 verfolgt wurde und auf Organisationen in den Bereichen Bildung, Satelliten, Kommunikationsausrüstung, Öl und Gas abzielt. sowie Bundes- und Landesregierungen in den Vereinigten Staaten und den Vereinigten Arabischen Emiraten.
Diese Kampagne zeichnet sich durch eine wirklich interessante Angriffskette aus: Die Bedrohungsakteure nutzten LinkedIn, um Informationen über ihre Ziele zu sammeln. Von dort aus starteten sie Passwort-Spraying-Angriffe, um in die Konten ihrer Opfer einzudringen und eine neue, benutzerdefinierte mehrstufige Hintertür namens Tickler einzusetzen. Schließlich nutzen sie kompromittierte Benutzerkonten ausschließlich im Bildungssektor, um sich die betriebliche Infrastruktur zu beschaffen, d. h. betrügerische, von Angreifern kontrollierte Azure-Abonnements, die als Command-and-Control (C2) für die Tickler-Hintertür verwendet werden.
Interessanterweise ist dies nicht das einzige Beispiel für eine iranische Gruppe, die Azure für Command and Control nutzt: Bereits im Februar deckten Forscher von Mandiant UNC1549 auf, einen weiteren Bedrohungsakteur mit Verbindungen zur IRGC, der auf die Luft- und Raumfahrt-, Luftfahrt- und Verteidigungsindustrie in den Ländern des Nahen Ostens abzielt und ein Netzwerk von mehr als 125 Azure Command-and-Control (C2)-Subdomänen nutzt.
Beide Kampagnen erklären, warum dieser Trend immer häufiger zu beobachten ist. Anstatt eine Angriffsinfrastruktur mit allen damit verbundenen Risiken von Betriebsfehlern einzurichten, können Bedrohungsakteure kompromittierte Konten verwenden oder ihre eigenen Mandanten einrichten, wenn dies für ihre bösartigen Operationen erforderlich ist. Darüber hinaus können sie sich auf eine skalierbare und widerstandsfähige Infrastruktur verlassen, mit den zusätzlichen Vorteilen, dass ihre potenziellen Opfer diesen Anwendungen vertrauen, und Cloud-Dienstanbieter empfehlen, ihren Datenverkehr zu umgehen (was bedeutet, dass es unmöglich ist, Anomalien oder bösartige Muster zu erkennen, die auf einen legitimen Dienst gerichtet sind, der umgangen wird).
Wie Netskope das Risiko verringert, dass legitime Cloud-Dienste für eine Befehls- und Kontrollinfrastruktur missbraucht werden
Microsoft Azure ist einer von Tausenden von Cloud-Diensten, bei denen Netskope Next Gen SWG adaptive Zugriffskontrolle, Bedrohungsschutz und Schutz vor Datenverlust mit einer Granularität bieten kann, die für keine andere Web-Sicherheitstechnologie möglich ist. Microsoft Azure ist auch eine von Hunderten von Cloud-Anwendungen, für die die Instanzerkennung verfügbar ist. Für den Fall, dass dieser Dienst oder eine ähnliche Cloud-Speicher-App ausgenutzt wird, um eine bösartige Nutzlast bereitzustellen oder die Befehls- und Kontrollinfrastruktur zu hosten, ist es möglich, eine Richtlinie zur Verhinderung potenziell gefährlicher Aktivitäten (wie "Upload" und "Download") für den spezifischen Dienst oder die gesamte Kategorie, zu der er gehört, zu konfigurieren (oder den nicht benötigten Dienst vollständig zu blockieren). Die granulare Zugriffskontrolle kann auf der Ebene der einzelnen Instanz erweitert werden, was bedeutet, dass es möglich ist, potenziell gefährliche Aktivitäten für unternehmensfremde Instanzen von Azure und Hunderte von zusätzlichen Diensten zu blockieren.
Netskope-Kunden sind durch Netskope Threat Protection außerdem vor aus der Cloud (und dem Internet im Allgemeinen) verbreiteter Malware geschützt. Netskope Threat Protection scannt den Web- und Cloud-Datenverkehr, um bekannte und unbekannte Bedrohungen mit einem umfassenden Satz von Engines zu erkennen, darunter signaturbasierter Antivirus, maschinelles Lernen als Detektor für ausführbare Dateien und Office-Dokumente sowie Sandboxing mit Patient Zero Protection. Die Bedrohungsschutzfunktionen können durch Netskope Cloud Exchange noch weiter verbessert werden. Netskope Cloud Exchange bietet leistungsstarke Integrationen, um Investitionen in die Sicherheitslage der Benutzer durch die Integration mit Tools von Drittanbietern wie Threat Intelligence Feeds, Endpunktschutz und E-Mail-Schutztechnologien optimal zu nutzen.
Das Risiko, dass interne Konten kompromittiert werden, um Angriffe zu starten, kann durch Netskope CASB bzw. Netskope Public Cloud Security für SaaS- und IaaS-Komponenten gemindert werden.
Schließlich bietet Netskope Advanced Analytics spezifische Dashboards, um das Risiko zu bewerten, dass nicht autorisierte Cloud-Instanzen ausgenutzt werden, um Malware zu verbreiten, aber auch, um Transparenz über die Auslastung der Unternehmensinstanzen mit umfangreichen Details und Einblicken zu bieten und Sicherheitsteams bei der Analyse und Minderung/Behebung zu unterstützen.
Bleiben Sie gesund!
Den Blog lesen