黑客利用泄露的谷歌云账户挖掘加密货币

威胁行为人正在利用不安全的谷歌云平台（GCP）实例将加密货币挖掘软件下载到受损系统，并滥用其基础设施安装勒索软件，发起网络钓鱼活动，甚至在YouTube视频上生成流量以进行浏览量操纵。

谷歌的网络安全行动团队（CAT）在上周发布的最新威胁展望报告中概述道：“虽然云用户在应用程序和基础设施方面继续面临各种威胁，但许多成功的攻击都是由于卫生条件差和缺乏基本的控制实施。”。

在最近遭到破坏的50个GCP实例中，86%被用来进行加密货币挖掘，在某些情况下是在成功破解后22秒内，而10%的实例被用来扫描互联网上其他可公开访问的主机，以识别易受攻击的系统，8%的实例被用于打击其他实体。大约6%的GCP实例被用来托管恶意软件。

在大多数情况下，未经授权的访问归因于用户帐户或API连接使用弱密码或无密码（48%）、云实例上安装的第三方软件存在漏洞（26%）以及GitHub项目中的凭据泄漏（4%）。

另一个值得注意的攻击是一个Gmail钓鱼活动，由APT28（又名“幻想熊”）发起，截至2021年9月底，涉及向美国、英国、印度、加拿大、俄罗斯、巴西和欧盟国家的12000多个账户持有者发送电子邮件爆炸，目的是窃取他们的证件。

此外，谷歌猫表示，它观察到对手滥用免费云积分，利用试用项目和冒充初创公司，向YouTube注入流量。在另一起事件中，一个由朝鲜政府支持的攻击者组织伪装成三星招聘人员，向几家销售反恶意软件解决方案的韩国信息安全公司的员工提供虚假工作机会。

研究人员说：“邮件中包含一份PDF文件，据称是三星公司一个职位的工作描述；然而，PDF文件格式不正确，无法在标准的PDF阅读器中打开。”。“当目标回复无法打开职务说明时，攻击者通过恶意链接做出回应，指向据称是存储在Google Drive中的‘安全PDF阅读器’的恶意软件，该软件现已被阻止。”

谷歌将这些攻击与今年早些时候致力于漏洞研究和开发的安全专业人员的威胁行为联系在一起，他们窃取漏洞并对自己选择的易受攻击目标发动进一步攻击。

“云托管资源具有高可用性和‘随时随地’访问的优势，”谷歌猫说。“虽然云托管的资源简化了员工的运营，但不好的参与者可以尝试利用云无处不在的特性来破坏云资源。尽管公众对网络安全的关注度越来越高，但鱼叉式网络钓鱼和社会工程策略往往是成功的。”