Google heeft woensdag licht geworpen op een financieel gemotiveerde dreigingsacteur genaamd DRIEVOUDIGE KRACHT vanwege zijn opportunistische targeting op cloudomgevingen voor cryptojacking en lokale ransomware-aanvallen.
“Deze actor hield zich bezig met een verscheidenheid aan bedreigingsactiviteiten, waaronder cryptocurrency-miningoperaties op gekaapte cloudbronnen en ransomware-activiteit”, aldus de clouddivisie van de technologiegigant in zijn 11e Threat Horizons Report.
TRIPLESTRENGTH houdt zich bezig met een trifecta van kwaadaardige aanvallen, waaronder illegale cryptocurrency-mining, ransomware en afpersing, en advertentietoegang tot verschillende cloudplatforms, waaronder Google Cloud, Amazon Web Services, Microsoft Azure, Linode, OVHCloud en Digital Ocean voor andere bedreigingsactoren.
De initiële toegang tot doelcloudinstanties wordt vergemakkelijkt door middel van gestolen inloggegevens en cookies, waarvan sommige afkomstig zijn uit infectielogboeken van Raccoon-informatiestelers. De gekaapte omgevingen worden vervolgens misbruikt om computerbronnen te creëren voor het minen van cryptocurrencies.
Latere versies van de campagne bleken zeer geprivilegieerde accounts te gebruiken om door aanvallers beheerde accounts uit te nodigen als factureringscontacten voor het cloudproject van het slachtoffer om zo grote computerbronnen op te zetten voor mining-doeleinden.
De cryptocurrency-mining wordt uitgevoerd met behulp van de unMiner-applicatie naast de unMineable mining-pool, waarbij zowel CPU- als GPU-geoptimaliseerde mining-algoritmen worden gebruikt, afhankelijk van het doelsysteem.
Misschien wat ongebruikelijk is dat de ransomware-implementaties van TRIPLESTRENGTH gericht zijn op lokale bronnen, in plaats van op de cloudinfrastructuur, waarbij gebruik wordt gemaakt van lockers zoals Phobos, RCRU64 en LokiLocker.
“In Telegram-kanalen gericht op hacking hebben actoren gelinkt aan TRIPLESTRENGTH advertenties geplaatst voor RCRU64 ransomware-as-a-service en ook partners gevraagd om samen te werken bij ransomware- en chantage-operaties”, aldus Google Cloud.
Bij een RCRU64-ransomware-incident in mei 2024 zouden de bedreigingsactoren aanvankelijke toegang hebben verkregen via het remote desktop-protocol, gevolgd door het uitvoeren van laterale bewegingen en het ontwijken van antivirusbescherming om de ransomware op verschillende hosts uit te voeren.
Er is ook waargenomen dat TRIPLESTRENGTH routinematig adverteert voor toegang tot gecompromitteerde servers, inclusief die van hostingproviders en cloudplatforms, op Telegram.
Google zei dat het stappen heeft ondernomen om deze activiteiten tegen te gaan door multi-factor authenticatie (MFA) af te dwingen om het risico van accountovername te voorkomen en door verbeterde logboekregistratie uit te rollen om gevoelige factureringsacties te markeren.
“Eén enkele gestolen inloggegevens kan een kettingreactie in gang zetten, waardoor aanvallers toegang krijgen tot applicaties en gegevens, zowel on-premise als in de cloud”, aldus de technologiegigant.
“Deze toegang kan verder worden uitgebuit om de infrastructuur in gevaar te brengen via diensten voor externe toegang, MFA te manipuleren en een vertrouwde aanwezigheid tot stand te brengen voor daaropvolgende social engineering-aanvallen.”
