HackerNews 编译,转载请注明出处:
Google周三揭露了一个名为TRIPLESTRENGTH的以获利为目的的威胁行为体,该行为体伺机针对云环境进行加密货币劫持和本地勒索软件攻击。
这家科技巨头的云部门在其第11期《威胁地平线报告》中表示:“该行为体从事了多种威胁活动,包括在被劫持的云资源上进行加密货币挖掘操作和勒索软件活动。”
TRIPLESTRENGTH从事三类恶意攻击,包括非法加密货币挖掘、勒索软件和敲诈,并向其他威胁行为体提供访问包括Google Cloud、Amazon Web Services、Microsoft Azure、Linode、OVHCloud和Digital Ocean在内的各种云平台的途径。
目标云实例的初步访问是通过被盗的凭证和cookie实现的,其中一些源自Raccoon信息窃取器的感染日志。被劫持的环境随后被滥用,以创建用于挖掘加密货币的计算资源。
该活动的后续版本被发现利用高度特权账户,将攻击者控制的账户作为受害者的云项目中的计费联系人,以便为挖掘目的设置大型计算资源。
加密货币挖掘是通过使用unMiner应用程序和unMineable挖掘池进行的,根据目标系统,采用CPU和GPU优化的挖掘算法。
颇为不寻常的是,TRIPLESTRENGTH的勒索软件部署操作主要针对本地资源,而非云基础设施,使用的勒索软件包括Phobos、RCRU64和LokiLocker。
Google Cloud表示:“在专注于黑客活动的Telegram频道中,与TRIPLESTRENGTH有关联的行为体发布了RCRU64勒索软件即服务(RaaS)的广告,并寻求合作伙伴参与勒索软件和敲诈勒索活动。”
在2024年5月的一起RCRU64勒索软件事件中,据说威胁行为体首先通过远程桌面协议获得初步访问权限,随后执行横向移动和防病毒防御规避步骤,在多个主机上执行勒索软件。
TRIPLESTRENGTH还经常在Telegram上宣传访问被入侵的服务器,包括托管提供商和云平台的服务器。
Google表示,已采取措施应对这些活动,包括强制实施多因素身份验证(MFA)以防止账户被接管的风险,并推出改进后的日志记录功能,以标记敏感计费操作。
这家科技巨头表示:“单个被盗的凭证可能引发连锁反应,使攻击者能够访问本地和云中的应用程序和数据。”
“这种访问权限可进一步被利用,通过远程访问服务破坏基础设施、操纵MFA,并为后续的社会工程学攻击建立可信的存在。”
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
