Servere în cloud furate pentru rețeaua secretă de e-mail

Cum reușesc atacatorii să își ascundă identitatea?

Atacatorii au folosit servere de afaceri legitime, transformându-le în proxy-uri SMTP pentru a masca activitatea lor malițioasă și a îngreuna identificarea sursei mesajelor trimise.

Culture picks

Progresul AI: echilibrarea vitezei cu controlulPraf și Centrul de Dată DowntimeConținutul generat cu inteligență artificială va fi etichetat clar pe internet din augustMeta are cinci zile să redeschidă WhatsApp pentru aplicațiile concurente

Prin reutilizarea silențioasă a acestor servere, aceștia au putut trimite e-mailuri fără a-și expune direct propria infrastructură, o tactică ce le permite să evite detectarea și să își continue acțiunile.

Această metodă, denumită PCPJack, le oferă un strat suplimentar de anonimat și face mai dificilă urmărirea originii mesajelor compromise.

Această activitate a fost descoperită recent de cercetătorii de securitate. PCPJack, un actor de amenințare cibernetică, a compromis peste 230 de servere cloud.

Aceste servere aparțin unor furnizori majori precum Amazon Web Services, Google Cloud și Microsoft Azure. Atacurile au avut loc în Statele Unite, Europa și Asia, creând o rețea ascunsă pentru transmiterea de e-mailuri.

Acest lucru creează o rețea complexă de relaje, care ascunde trimisorul adevărat.

De ce Target Cloud Infrastructure De ce ar face cineva atâtea eforturi pentru a deturna serverele cloud pentru e-mail-ul de relaje?

Cât de periculoasă este reutilizarea infrastructurii cloud legitime?

Analistii de securitate cred că atacatorul a selectat cu atenție servere.

Odată înăuntru, PCPJack a instalat probabil un software pentru a trimite e-mail-uri prin intermediul sistemelor compromise. Ei au țintit pe cele cu porturi SMTP deschise și configurări de securitate slabe. Acest lucru a permis un acces și un control relativ ușor.

Utilizarea infrastructurii cloud legitime oferă un grad de încredere. Această tactică conduce, de asemenea, la investigații complice.

E-mail-urile trimise prin intermediul acestor servere sunt mai puțin susceptibile de a fi marcate ca fiind blocate sau blocate de filtre de securitate cloud. Mai mult, serverele de spam oferă timp ridicat și bandă, asigurând livrarea consistentă a e-mailului.

Tracker-uri înapoi la serverele de e-mail care atacă în mod eficient, nu utilizează activitatea de protecție a serverului cloud.

Întreprinderile a căror servere au fost deturnate se confruntă cu prejudicii de reputație și potențiale responsabilități juridice. Acest actor încearcă să identifice și să își interfere cu activitatea de protecție a datoriei. Consecințele acestei activități sunt de lungă lungime.

Spam-ul și atacurile de phishing pot afecta utilizatorii din întreaga lume. Vigilența continuă și practicile de securitate îmbunătățite sunt esențiale pentru a preveni incidentele viitoare. Furnizorii cloud lucrează pentru a identifica și remedia serverele compromise, dar atacatorul s-ar putea să fi trecut deja la noi ținte.