Злоумышленники все чаще используют доверенные SaaS-платформы, облачную инфраструктуру и системы идентификации для маскировки вредоносной активности под легитимный корпоративный трафик.
Противники направляют трафик командно-контрольных центров (C2) через сервисы с высокой репутацией, включая OpenAI и AWS, чтобы слиться с обычным рабочим трафиком и избежать попадания в черные списки.
Переход от атак типа «living off the land» (использование ресурсов системы) к «living off the cloud» (использование облачных ресурсов) отражает то, как злоумышленники адаптировались к миграции ИТ-инфраструктуры предприятий в гибридные и облачные среды, такие как AWS, Azure и Google Cloud.
«Вместо того чтобы злоупотреблять локальными бинарными файлами, такими как PowerShell или WMI [Windows Management Instrumentation], для уклонения от обнаружения, противники теперь используют нативные облачные административные инструменты, API, системы идентификации и консоли управления для работы с помощью легитимной функциональности», — говорит Ариф Хан, руководитель службы поиска угроз и реагирования в Mitiga. «Поскольку облачные среды по своей сути управляются через API, злоумышленники, получившие действительные учетные данные или токены, могут перечислять ресурсы, извлекать данные, повышать привилегии и поддерживать постоянство через рутинные административные вызовы».
Взлом облачных систем обходит традиционные средства защиты, которые в значительной степени полагаются на репутацию доменов и статические черные списки. Запуск атакующей инфраструктуры из облака также упрощает проведение атак.
«Злоумышленники все чаще используют легитимные облачные сервисы как часть своей атакующей инфраструктуры», — отмечает Фредрик Альмрот, исследователь безопасности и соучредитель Detectify. «Вместо того чтобы эксплуатировать собственные серверы командно-контрольных центров, они направляют трафик через доверенные платформы, такие как облачное хранилище, инструменты для совместной работы или API для ИИ. Для защитников это может выглядеть как обычный трафик к авторитетному поставщику».
Ниже приведены некоторые примеры того, как злоумышленники все чаще злоупотребляют облачными сервисами для проведения различных атак.
Скрытое командное управление через облачные инструменты производительности
Исследователи из Google и Mandiant недавно пресекли предполагаемую китайскую операцию кибершпионажа (UNC2814), которая злоупотребляла легитимной функциональностью Google Sheets для уклонения от обнаружения.
Вредоносное ПО Gridtide, лежавшее в основе кампании, подключалось к контролируемой злоумышленниками таблице Google для C2, что фактически позволяло ему сливаться с обычным сетевым трафиком.
Вредоносное ПО рассматривает Google Sheets как активную базу данных C2, используя токен учетной записи службы (Service Account token) для опроса определенных ячеек на предмет инструкций, а затем записывая результаты выполнения задач обратно в соседние столбцы.
«Это часть продолжающейся тенденции, когда злоумышленники все чаще добиваются успеха в злоупотреблении SaaS-платформами как альтернативой созданию и поддержке собственной кастомной инфраструктуры», — по словам исследователей Google.
Маскировка командного управления в доверенных API
Злоумышленники также создают вредоносное ПО, которое направляет C2-трафик через доверенные сервисы, такие как API OpenAI.
Например, бэкдор SesameOp направляет трафик через Assistants API OpenAI, маскируя C2-коммуникации под легитимную разработку ИИ.
«В таких случаях, как с бэкдором SesameOp, трафик выглядит как обычная деятельность по разработке ИИ», — говорит Партибан Джегатеесан, управляющий директор Peneto Labs. «Для инструментов безопасности это сливается с легитимным использованием в бизнесе, что делает блокировку намного сложнее без нарушения реальных рабочих процессов».
Вредоносное ПО, такое как VEILDrive, и вредоносные варианты фреймворка постобъектного использования Havoc Framework злоупотребляют Microsoft Graph API.
«Вредоносное ПО проходит аутентификацию в легитимном корпоративном клиенте SharePoint или OneDrive, где оно использует Graph API для чтения командных файлов, таких как cmd.txt, и записи файлов с результатами (например, results.json) непосредственно в папку, похожую на личный бэкап пользователя», — объясняет Квангъюн Кым, старший инженер по наступательной безопасности.
Размещение вредоносного ПО в объектном хранилище
Злоумышленники все чаще хранят полезные нагрузки второго этапа или конфигурационные файлы в сервисах облачного хранения — например, в S3-совместимых бакетах — вместо собственных серверов.
«Эти файлы загружаются только при необходимости, что уменьшает след вредоносного ПО на диске и позволяет злоумышленникам заменять полезные нагрузки без повторного развертывания вредоносного ПО», — говорит Джегатеесан из Peneto Labs.
Эксфильтрация данных через доверенные сервисы
По словам Николаса Кэрролла, менеджера по реагированию на киберинциденты в Nightwing, злоумышленники также перешли от традиционных FTP-сбросов или рискованных сайтов pastebin (хранилищ текста) к эксфильтрации огромных объемов конфиденциальных данных через обычные облачные корпоративные инструменты связи, такие как Slack и Discord.
Кэрролл сообщает, что в недавних атакующих кампаниях злоумышленники «настраивали скомпрометированные серверы на выполнение HTTPS POST-запросов к api.slack.com, hooks.slack.com или discord.com», используя эти конечные точки для эксфильтрации «строго контролируемых секретов, таких как ключи доступа AWS, SSH-ключи и внутренние токены API, непосредственно в контролируемые злоумышленниками чат-каналы».
Гибридные и многоэтапные цепочки атак полностью внутри облака
Несколько кампаний демонстрируют полностью нативные облачные цепочки атак, включая одну, связанную с китайской группой кибершпионажа.
«С марта 2024 года Genesis Panda систематически использовала облачные сервисы на протяжении всей цепочки атак — запрашивала данные AWS Instance Meta*data Service (IMDS) для сбора учетных данных, использовала облачное хранилище для размещения полезных нагрузок, направляла C2 через домены, имитирующие легитимные облачные сервисы, и использовала облачные вычисления для эксфильтрации данных», — говорит Диптамэй Саньял, ведущий инженер по данным, ИИ и кибербезопасности в CrowdStrike.
«Облако здесь не цель — это весь операционный хребет», — добавляет Саньял.
Фишинг и социальная инженерия через доверенные платформы
Злоумышленники все чаще размещают приманки и страницы входа на легитимной облачной инфраструктуре.
Например, хакерская группа Cozy Bear (APT 29), связанная с Россией, доставляла фишинговые ссылки, перенаправляющие на подлинные страницы входа Microsoft, устраняя самый распространенный признак фишинга — подозрительные домены.
«Жертвы видели только легитимную инфраструктуру Microsoft, что делало традиционное обнаружение на основе URL бесполезным», — отмечает Саньял из CrowdStrike.
Злоупотребление бессерверной и эфемерной инфраструктурой
Злоумышленники злоупотребляют бессерверными сервисами, такими как AWS Lambda или Azure Functions, для проведения сетевой разведки и сканирования.
Эта тактика была развернута во время кампании HazyBeacon, нацеленной на правительственные структуры в Юго-Восточной Азии, и обнаружена подразделением Unit 42 Palo Alto Networks.
«Вместо сканирования цели с одного скомпрометированного сервера, чей IP-адрес немедленно блокируется, злоумышленник запускает тысячи эфемерных функций Lambda», — объясняет Каве Раджбар, соучредитель и генеральный директор Whisper Security, бывший CIO/CTO RIPE NCC. «Каждая функция сканирует небольшую часть целевой сети, а затем исчезает».
Трафик исходит от IP-адресов Amazon с высокой репутацией, которые постоянно ротируются. Корпоративные брандмауэры не могут заблокировать эти IP-адреса, не нарушив собственный доступ к легитимным сервисам AWS. «Злоумышленник фактически «отмывает» свой трафик через репутацию Amazon», — добавляет Раджбар.
Облачный туннелинг
Противники обходят правила входящего брандмауэра, используя легитимные «туннельные» сервисы, размещенные у крупных облачных провайдеров.
«Злоумышленник компрометирует внутренний сервер, но не может открыть порт для приема команд из-за корпоративного брандмауэра», — объясняет Раджбар из Whisper Security. «Поэтому они устанавливают агент Cloudflare Tunnel или ngrok. Этот агент инициирует исходящее соединение с облачным провайдером, что обычно разрешено».
Раджбар добавляет: «Для службы безопасности это выглядит как легитимный зашифрованный HTTPS-трафик, идущий в Cloudflare или AWS. В действительности это стабильный C2-канал, который туннелируется прямо через периметровые средства защиты, используя доверенную инфраструктуру в качестве носителя».
Совместное использование снимков EBS
Киберпреступные группы, такие как Scattered Spider и Storm-0501, злоупотребляют «методом совместного использования снимков», создавая тем самым вектор атаки IaaS с высоким воздействием.
Этот подход обходит традиционную сетевую безопасность, используя уровень управления облаком в качестве оружия.
«Вместо загрузки вредоносных файлов злоумышленник создает снимок («фотографию») всего жесткого диска сервера жертвы и просто «делится» им с помощью API ModifySnapshotAttribute с внешним облачным аккаунтом, который контролируют атакующие», — говорит инженер по наступательной безопасности Кым. «Затем злоумышленник восстанавливает снимок и выполняет атаки, такие как «офлайн» дамп учетных данных».
Злоупотребление доверием через отношения арендаторов Entra ID
Актер Murky Panda, связанный с Китаем, скомпрометировал вышестоящих поставщиков ИТ-услуг, чтобы незаметно проникнуть к нижестоящим жертвам через доверительные соединения арендаторов Entra ID (ранее Azure AD), по данным CrowdStrike.
Взлом конфигураций арендаторов Entra ID для получения административных привилегий также является особенностью методов группы программ-вымогателей Storm-0501.
Извлечение секретов напрямую из облачных хранилищ
Группы, такие как Storm-0501, злоупотребляли нативными облачными хранилищами секретов, такими как AWS Secrets Manager, для сбора учетных данных в рамках своих более широких кампаний по программам-вымогателям и вымогательству.
«Вместо дампа учетных данных с конечных точек злоумышленники запрашивают секреты напрямую через облачные API», — говорит Джегатеесан из Peneto Labs. «Это позволяет избежать обнаружения на конечных точках и переносит атаку в места, за которыми многие службы безопасности следят менее пристально».
Касаясь пустоты
Злоумышленники даже создали нативные облачные вредоносные программы, состоящие из пользовательских загрузчиков, имплантов, руткитов и модульных плагинов, предназначенные для обеспечения постоянства на скомпрометированных целях.
Например, VoidLink — это высокоразвитый фреймворк вредоносного ПО, специально созданный для компрометации основных облачных инфраструктур, таких как AWS, Azure, GCP и кластеры Kubernetes. Фреймворк, по-видимому, разработанный и поддерживаемый разработчиками, связанными с Китаем, был впервые идентифицирован исследователями Check Point.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John Leyden
