Nhóm tin tặc APT29 do nhà nước Nga tài trợ được cho là có liên quan đến chiến dịch lừa đảo lợi dụng các dịch vụ đám mây hợp pháp như Google Drive và Dropbox để lây nhiễm mã độc vào các hệ thống.
Theo Palo Alto Networks, chiến dịch này nhắm vào một số cơ quan ngoại giao phương Tây trong khoảng thời gian từ tháng 5 đến tháng 6 năm 2022, bao gồm cả một đại sứ quán nước ngoài ở Bồ Đào Nha và Brazil.
APT29, cũng được biết đến với các tên Cozy Bear, Cloaked Ursa, hoặc The Dukes, là nhóm gián điệp mạng có tổ chức, có nhiệm vụ thu thập thông tin tình báo phù hợp với các mục tiêu chiến lược của Nga.
Nhóm này cũng được cho là có liên quan đến cuộc tấn công chuỗi cung ứng nổi tiếng vào SolarWinds năm 2020.
Các vụ xâm nhập gần đây là tiếp nối của chiến dịch trước đó, sử dụng các email lừa đảo trực tuyến để triển khai Cobalt Strike Beacons bằng một tệp đính kèm HTML độc hại được gọi là ROOTSAW (hay EnvyScout). Trong đó, EnvyScout đóng vai trò như một công cụ phụ trợ để lây nhiễm mục tiêu theo tùy chọn của tin tặc. Trong trường hợp này là một tệp thực thi .NET được che giấu trong nhiều lớp và được sử dụng để lọc thông tin hệ thống cũng như thực thi mã nhị phân giai đoạn tiếp theo, chẳng hạn như Cobalt Strike được tìm nạp từ Google Drive.
Điểm khác biệt là lần này sử dụng các dịch vụ đám mây như Dropbox và Google Drive để che giấu hành vi và đưa phần mềm độc hại vào môi trường mục tiêu.
Theo các nhà nghiên cứu, việc sử dụng các dịch vụ DropBox và Google Drive… là chiến thuật mới khó bị phát hiện do tính chất phổ biến của các dịch vụ này với hàng triệu khách hàng trên toàn thế giới.
Theo The Hacker News