Az APT29 védett felhőszolgáltatásokat használ
A Unit42, a Palo Alto Networks fenyegetéselemző csapata szerint az Orosz Föderáció Külföldi Hírszerző Szolgálatához (SzVR) tartozó állami támogatású hackerek elkezdték használni a Google Drive felhőalapú tárolási szolgáltatását, hogy csökkentsék az észlelést. Az APT29 (Cozy Bear, Nobelium) csoport ezt az új taktikát alkalmazta 2022 május eleje és júniusa között, a nyugati diplomáciai képviseleteket és a külföldi nagykövetségeket célzó kampányai során. Az első, 2022 májusának végén megfigyelt kampány célpontja egy NATO-ország külügyminisztériuma volt. A kártékony kód egy agenda.pdf fájl segítségével került be a rendszerekbe.
A megbízható, legális felhőszolgáltatások használata nem teljesen újdonság az állami hátterű fenyegetési szereplők technikájában. Azonban a két legutóbbi kampányuk először használta ki a Google Drive felhőalapú tárolási szolgáltatásait, ami aggályossá teszi az APT rosszindulatú programjainak szállítási folyamatába való bekapcsolódásukat.
A Palo Alto Networks kutatói azt javasolják, hogy a szervezetek vizsgálják meg az e-mailekhez tartozó irányelveiket, szabályzataikat, mert ezek sok esetben frissítésre szorulnak. A Unit42 közzétette a támadásokhoz tartozó IoC-kat.