مجموعة التهديد فلوكسروت
تم اكتشاف مجموعة ذات دوافع مالية مقرها في أمريكا اللاتينية (LATAM)، تُعرف باسم FLUXROOT، باستخدام مشاريع Google Cloud بدون خادم لإجراء حملات تصيد بيانات الاعتماد. ويؤكد هذا الوضع كيف يمكن استغلال نماذج الحوسبة السحابية للقيام بأنشطة تهديدية. يفضل المطورون والمؤسسات البنى بدون خادم نظرًا لمرونتها وفعاليتها من حيث التكلفة وسهولة الاستخدام. ومع ذلك، فإن هذه المزايا نفسها أيضًا تجعل خدمات الحوسبة بدون خادم جذابة لمجرمي الإنترنت. إنهم يستفيدون من هذه الأنظمة الأساسية لتوزيع البرامج الضارة وإدارتها، واستضافة مواقع التصيد الاحتيالي، وتشغيل البرامج النصية الاحتيالية المصممة خصيصًا للبيئات التي لا تحتوي على خادم.
جدول المحتويات
يستهدف FLUXROOT المستخدمين الذين لديهم أحصنة طروادة المصرفية
استخدمت الحملة عناوين URL لحاوية Google Cloud لاستضافة صفحات تصيد بيانات الاعتماد، مستهدفة بيانات اعتماد تسجيل الدخول لـ Mercado Pago، وهي منصة دفع عبر الإنترنت مستخدمة على نطاق واسع في منطقة LATAM. وفقًا لشركة Google، فإن FLUXROOT هو الجهة التهديدية التي تقف وراء هذه الحملة، والمعروفة سابقًا بنشر حصان طروادة المصرفي Grandoreiro . تضمنت الأنشطة الأخيرة التي قامت بها FLUXROOT أيضًا استغلال الخدمات السحابية المشروعة مثل Microsoft Azure وDropbox لتوزيع البرامج الضارة الخاصة بهم.
يستغل مجرمو الإنترنت الخدمات السحابية لنشر البرامج الضارة
وفي حالة منفصلة، استغلت PINEAPPLE، وهي جهة تهديد أخرى، البنية التحتية السحابية لـ Google لتوزيع البرامج الضارة التي تسرق Astaroth (المعروفة أيضًا باسم Guildma) في هجمات تستهدف المستخدمين البرازيليين.
قامت PINEAPPLE باختراق مثيلات Google Cloud وأنشأت مشاريع Google Cloud الخاصة بها لإنشاء عناوين URL للحاويات على نطاقات Google Cloud الشرعية بدون خادم مثل cloudfunctions.net وrun.app. استضافت عناوين URL هذه صفحات مقصودة أعادت توجيه الأهداف إلى بنية تحتية احتيالية لتوصيل برنامج Astaroth الضار.
بالإضافة إلى ذلك، حاولت PINEAPPLE التهرب من دفاعات بوابة البريد الإلكتروني باستخدام خدمات إعادة توجيه البريد التي تسمح بمرور الرسائل ذات سجلات إطار سياسة المرسل (SPF) الفاشلة. لقد تلاعبوا أيضًا بحقل مسار إرجاع SMTP ببيانات غير متوقعة لتشغيل مهلات طلب DNS، مما تسبب في فشل عمليات التحقق من مصادقة البريد الإلكتروني.
يستغل المجرمون الخدمات المشروعة لأغراض ضارة
ولمعالجة هذه التهديدات، اتخذت Google خطوات للتخفيف من الأنشطة عن طريق إغلاق مشاريع Google Cloud غير الآمنة وتحديث قوائم التصفح الآمن.
لسوء الحظ، أدى الاختيار المتزايد للخدمات السحابية عبر مختلف الصناعات إلى تمكين الجهات الفاعلة في مجال التهديد من استغلال هذه المنصات لأغراض سيئة التفكير، بما في ذلك التعدين غير المشروع للعملات المشفرة بسبب التكوينات الضعيفة وهجمات برامج الفدية.
ومما يسهل هذا الاستغلال أيضًا حقيقة أن الخدمات السحابية تسمح للخصوم بدمج أنشطتهم مع عمليات الشبكة العادية، مما يجعل الكشف أكثر صعوبة بشكل كبير.
تستفيد الجهات الفاعلة في مجال التهديد من مرونة الأنظمة الأساسية التي لا تحتوي على خادم وسهولة نشرها لتوزيع البرامج الضارة واستضافة صفحات التصيد الاحتيالي. وبينما يقوم المدافعون بتنفيذ تدابير الكشف والتخفيف، يقوم الخصوم باستمرار بتكييف تكتيكاتهم للتهرب من هذه الدفاعات.
