Google Workspace 和 Google Cloud Platform 在新型攻击中成为目

2025-08-18 13:31:15

Bitdefender揭示新攻击手法

关键要点

Bitdefender发现黑客可能利用新的攻击手法针对使用Google Workspace与Google Cloud Platform的受害者。黑客可利用Google Credential Provider for Windows，绕过多因素认证获取刷新令牌。采用“Golden Image”横向移动策略，通过克隆虚拟机获取GAIA账户密码。利用已获得的访问令牌向未记录API终端发送请求，获取解密密码字段所需的私钥。

Bitdefender警告称，他们发现了一种新型的攻击方法，黑客可能会针对使用Google Workspace和Google Cloud Platform的用户进行攻击。据The Hacker News的报道，该公司展示了黑客如何在以其他方式获得对本地机器的未经授权访问后，利用Google Credential Provider for Windows的工作原理。

Google Credential Provider for Windows通过使用本地特权服务账户、Google账户和ID管理来验证用户凭据，并存储一个刷新令牌，从而消除了重新认证的需要。已入侵机器的攻击者可以提取账户的刷新OAuth令牌，从而绕过多因素认证。

此外，另一种攻击手法涉及“Golden Image”横向移动策略，该策略利用克隆预装GCPW的虚拟机的事实，来创建另一台机器，同时也克隆与GAIA账户相关联的密码。第三种攻击手法涉及使用先前获得的访问令牌向一个未记录的API端点提交HTTP GET请求，从而使攻击者能够获取解密密码字段所需的私钥。