T1586.003
Compromise Accounts: Cloud Accounts

Adversaries may compromise cloud accounts that can be used during targeting. Adversaries can use compromised cloud accounts to further their operations, including leveraging cloud storage services such as Dropbox, Microsoft OneDrive, or AWS S3 buckets for Exfiltration to Cloud Storage or to Upload Tools. Cloud accounts can also be used in the acquisition of infrastructure, such as Virtual Private Servers or Serverless infrastructure. Compromising cloud accounts may allow adversaries to develop sophisticated capabilities without managing their own servers.^[1]

攻撃者は、攻撃目標中に使用することができるクラウドアカウントを侵害することがあります。攻撃者は、Dropbox、Microsoft OneDrive、AWS S3バケットなどのクラウドストレージサービスを利用して、Cloud Storage への抽出またはツールのアップロード用に、侵害したクラウド アカウントを使用して作戦を進めることができます。また、クラウドアカウントは、仮想プライベートサーバやサーバレスインフラなどのインフラを獲得する際にも使用されることがあります。クラウドアカウントを侵害することで、攻撃者は自身のサーバを管理することなく、高度な機能を開発することができます[1]。

A variety of methods exist for compromising cloud accounts, such as gathering credentials via Phishing for Information, purchasing credentials from third-party sites, conducting Password Spraying attacks, or attempting to Steal Application Access Tokens.^[2] Prior to compromising cloud accounts, adversaries may conduct Reconnaissance to inform decisions about which accounts to compromise to further their operation. In some cases, adversaries may target privileged service provider accounts with the intent of leveraging a Trusted Relationship between service providers and their customers.^[2]

クラウドアカウントを侵害する方法には、フィッシングによる認証情報の収集、サードパーティサイトからの認証情報の購入、パスワードスプレー攻撃の実施、アプリケーションアクセストークンの盗用など、さまざまな方法があります[2]。クラウドアカウントを侵害する前に、攻撃者は偵察を行い、どのアカウントを侵害すべきか判断し、作戦を進める可能性があります。場合によっては、攻撃者は、サービスプロバイダーとその顧客の間の信頼関係を悪用する目的で、特権的なサービスプロバイダーのアカウントを標的とすることがあります[2]。