FLUXROOT група заплахи
Финансово мотивирана група, базирана в Латинска Америка (LATAM), известна като FLUXROOT, беше открита, използвайки безсървърни проекти на Google Cloud за провеждане на кампании за фишинг на идентификационни данни. Тази ситуация подчертава как моделите на изчислителни облаци могат да бъдат използвани за заплашителни дейности. Разработчиците и предприятията предпочитат безсървърни архитектури поради тяхната гъвкавост, рентабилност и удобство за потребителя. Същите тези предимства обаче правят изчислителните услуги без сървър привлекателни за киберпрестъпниците. Те използват тези платформи, за да разпространяват и управляват злонамерен софтуер, да хостват фишинг сайтове и да изпълняват измамни скриптове, специално проектирани за среди без сървър.
Съдържание
FLUXROOT е насочен към потребители с банкови троянски коне
Кампанията използва URL адреси на Google Cloud контейнер за хостване на фишинг страници с идентификационни данни, насочени към идентификационни данни за вход за Mercado Pago, широко използвана платформа за онлайн плащане в региона на LATAM. Според Google FLUXROOT е заплахата зад тази кампания, известна преди това с разпространението на банковия троянски кон Grandoreiro . Скорошните дейности на FLUXROOT също включват използване на законни облачни услуги като Microsoft Azure и Dropbox за разпространение на техния зловреден софтуер.
Киберпрестъпниците използват облачни услуги за разпространение на зловреден софтуер
В отделен случай PINEAPPLE, друга заплаха, е използвала облачната инфраструктура на Google, за да разпространи зловреден софтуер Astaroth stealer (известен също като Guildma) в атаки, насочени към бразилски потребители.
PINEAPPLE компрометира екземпляри на Google Cloud и създаде свои собствени проекти в Google Cloud, за да генерира URL адреси на контейнери в легитимни домейни без сървър на Google Cloud като cloudfunctions.net и run.app. Тези URL адреси хостваха целеви страници, които пренасочваха цели към измамна инфраструктура за доставяне на зловреден софтуер Astaroth.
Освен това PINEAPPLE се опита да избегне защитата на шлюза за електронна поща, като използва услуги за препращане на поща, които позволяват преминаването на съобщения с неуспешни записи на Sender Policy Framework (SPF). Те също така манипулират полето за обратен път на SMTP с неочаквани данни, за да задействат изчакване на DNS заявка, причинявайки неуспешни проверки за удостоверяване на имейл.
Престъпниците се възползват от легитимни услуги за вредни цели
За да се справи с тези заплахи, Google предприе стъпки за смекчаване на дейностите чрез затваряне на опасни проекти на Google Cloud и актуализиране на списъците за безопасно сърфиране.
Увеличеният избор на облачни услуги в различни индустрии за съжаление даде възможност на участниците в заплахите да експлоатират тези платформи за злонамерени цели, включително незаконно копаене на криптовалута поради слаби конфигурации и атаки на рансъмуер.
Тази експлоатация е допълнително улеснена от факта, че облачните услуги позволяват на противниците да смесват дейностите си с нормалните мрежови операции, което прави откриването значително по-трудно.
Актьорите на заплахи използват гъвкавостта и лекотата на внедряване на платформите без сървър, за да разпространяват зловреден софтуер и да хостват фишинг страници. Докато защитниците прилагат мерки за откриване и смекчаване, противниците непрекъснато адаптират своите тактики, за да избегнат тези защити.
