T1586.003: Облачные учетные записи

Злоумышленники могут скомпрометировать учетные записи в облачных сервисах, чтобы использовать их для атак. Злоумышленники могут использовать скомпрометированные облачные учетные записи для своих операций — например, задействовать хранилища Dropbox, Microsoft OneDrive или AWS S3 для эксфильтрации в облачное хранилище или загрузки инструментов. Облачные учетные записи также могут использоваться для приобретения инфраструктуры, например, виртуальных выделенных серверов или бессерверной инфраструктуры. Используя скомпрометированные облачные учетные записи, злоумышленники могут получать продвинутые возможности без необходимости управлять собственными серверами.

Существует множество методов компрометации облачных учетных записей, таких как получение учетных данных с помощью техники Фишинг с целью сбора сведений, покупка учетных данных на сторонних сайтах, применение техники Распыление пароля или кража токенов доступа к приложению.. Перед взломом злоумышленники могут провести разведку, чтобы определить, какие облачные учетные записи лучше скомпрометировать для дальнейших операций. В некоторых случаях злоумышленники могут атаковать привилегированные учетные записи поставщиков услуг, чтобы использовать доверительные отношения между поставщиками и их клиентами.

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls.