سلط تقرير حديث صادر عن مجموعة إنسكت جروب Insikt Group التابعة لـ ريكورديد فيوتشر، الضوء على اتجاه ناشئ حيث يستغل الفاعلون في التهديد بشكل متزايد المنصات الموثوقة مثل قوقل درايف Google Drive و ون درايف OneDrive لإخفاء الأنشطة الضارة داخل حركة المرور العادية على الإنترنت، لافتًا إلى أن هذا التكتيك يعزز كفاءتهم في سرقة البيانات والعمليات مع إضعاف الدفاعات التقليدية.

خلاصة التقرير: 

يسلط بحث Insikt الجديد الضوء على اتجاه ناشئ حيث يستغل الفاعلون المهددون بشكل متزايد المنصات الموثوقة مثل Google Drive و OneDrive و Notion و GitHub لإخفاء الأنشطة الضارة داخل حركة المرور العادية على الإنترنت. يعزز هذا التكتيك كفاءتهم في سرقة البيانات والعمليات مع إضعاف الدفاعات التقليدية. تحتل مجموعات التهديد المستمر المتقدم (APT) موقع الصدارة في هذه الإستراتيجية، حيث تحذو المجموعات الأقل تعقيدًا حذوها. وهذا يؤكد الحاجة إلى استراتيجيات دفاع قابلة للتكيف تتطور جنبًا إلى جنب مع ابتكارات الجهات الفاعلة في مجال التهديد.

يعالج التقرير فجوة كبيرة في الفهم من خلال تقديم نظرة عامة منتظمة لإساءة استخدام خدمات الإنترنت المشروعة (LIS) عبر فئات البرامج الضارة. وتتوقع زيادة أخرى في إساءة استخدام LIS بسبب المزايا التي تتمتع بها الجهات الفاعلة في التهديد والتحديات التي يواجهها المدافعون. عدم وجود تقارير شاملة يجعل من الصعب تحديد الاتجاه بشكل نهائي، ولكن انتشار إساءة استخدام LIS من قبل عائلات البرامج الضارة الراسخة، واعتماد هذه الأساليب بواسطة سلالات جديدة، والابتكار السريع من قبل مجموعات APT، كلها تشير إلى اتجاه متزايد في إساءة استخدام البنية التحتية للخصم.

مع استمرار الجهات الفاعلة في التهديد في تطوير تكتيكاتها ، ستصبح الدفاعات التقليدية مثل حظر مؤشر التسوية (IOC) والاكتشافات الأساسية أقل فعالية. تم اقتراح نهج متعدد الأوجه، يشمل طرق الكشف القائمة على الشبكة والملفات والسجلات. يجب على المدافعين أيضًا تحديد خدمات الإنترنت التي يُحتمل أن تكون معرضة للخطر بشكل استباقي وإجراء عمليات محاكاة للهجوم للبقاء في المقدمة.

يكشف تحليل التقرير لأكثر من 400 عائلة من البرمجيات الخبيثة أن 25٪ منهم يسيئون استخدام LIS في بعض الصفة، مع 68.5٪ من تلك العائلات يسيئون استخدام أكثر من LIS. من المرجح أن يستغل مختربو المعلومات LIS (37٪)، مدفوعين بأهداف استخراج البيانات الخاصة بهم وسهولة إعداد البنية التحتية. تعتمد فئات البرامج الضارة المختلفة أنظمة بنية تحتية متميزة. تعد منصات التخزين السحابية مثل Google Drive هي الأكثر استخدامًا، تليها تطبيقات المراسلة مثل Telegram و Discord.

على المدى القصير، يُنصح المدافعون بتحديد وحظر LIS التي لا يتم استخدامها في بيئتهم ولكن من المعروف أنها تستخدم بشكل ضار. بالنسبة للأمان طويل المدى، يجب على المؤسسات استثمار الموارد في فهم الاستخدامات المشروعة والخبيثة لخدمات معينة. سيسهل هذا الفهم تطوير طرق كشف أكثر فاعلية ودقة. تكتسب تقنيات مثل اعتراض شبكة TLS أهمية لتحسين الرؤية، على الرغم من أنها تقدم أيضًا مخاوف تتعلق بالخصوصية والامتثال.

على الرغم من التحديات، يمكن للمدافعين تنفيذ تدابير مثل حظر أو وضع علامة على استخدام LIS الضار، والبحث الاستباقي عن التهديدات، والتركيز على مجموعة متنوعة من طرق الكشف. يعد تطوير فهم شامل لاستخدام الخدمات المشروعة والضارة أمرًا بالغ الأهمية لآليات الكشف الفعالة والحماية الشاملة. سيتعمق التقرير التالي في السلسلة في إساءة استخدام فئة LIS محددة تستخدم كبنية تحتية ضارة.