SolarWinds-aanvallers verstoppen malware in Google Drive en Dropbox

APT29 is een Russische groep cybercriminelen, die nu vooral bekend staan vanwege de aanval via beheersoftware Orion van SolarWinds. In december 2020 werd duidelijk dat via Orion een backdoor werd geïnstalleerd bij diverse bedrijven en organisaties, via waar vervolgens informatie en andere zaken gestolen werden. Zo konden aanvallers meelezen met e-mails bij het Amerikaanse ministerie van Justitie en werd broncode van Microsoft gestolen.

Onderzoek van Unit 42 laat zien dat APT29 inmiddels weer andere tactieken heeft bedacht om doelwitten aan te vallen. Volgens de onderzoeksgroep gebruiken ze nu dus legitieme clouddiensten om malware te hosten en te leveren. Op die manier hopen de aanvallers detectie te omzeilen en Cobalt Strike in te zetten bij slachtoffers, waarschijnlijk met het doel om informatie te stelen. 

"Dit is een nieuwe tactiek voor deze actoren en één die uitdagingen meebrengt op het gebied van detectie, omdat deze diensten alomtegenwoordig zijn en omdat ze door miljoenen klanten wereldwijd vertrouwd worden", aldus de onderzoekers. 

Westerse missies doelwit

De campagne richtte zich vermoedelijk op verschillende westerse diplomatieke missies tussen mei en juni dit jaar. Zo werden buitenlandse ambassades in Portugal en Brazilië aangevallen. 

Bij deze aanvallen werd een agenda-invite voor een aanstaande meeting met een ambassadeur gebruikt als lokmiddel. De documenten bevatten een link naar een malafide HTML-bestand, dat vervolgens andere malafide bestanden in het netwerk van het doelwit plaatste. Daarbij werd dus ook Cobalt Strike afgeleverd in het netwerk. 

Unit 42 heeft Google en Dropbox op de hoogte gesteld van de bevindingen, waarop de bedrijven actie hebben ondernomen.