Skupina hrozeb FLUXROOT
Finančně motivovaná skupina se sídlem v Latinské Americe (LATAM), známá jako FLUXROOT, byla detekována pomocí bezserverových projektů Google Cloud k provádění phishingových kampaní na pověření. Tato situace podtrhuje, jak lze cloudové výpočetní modely využít k ohrožujícím činnostem. Vývojáři a podniky upřednostňují bezserverové architektury kvůli jejich flexibilitě, hospodárnosti a uživatelské přívětivosti. Tyto stejné výhody však také činí bezserverové počítačové služby přitažlivými pro kyberzločince. Tyto platformy využívají k distribuci a správě malwaru, hostování phishingových stránek a spouštění podvodných skriptů speciálně navržených pro prostředí bez serveru.
Obsah
FLUXROOT se zaměřuje na uživatele s bankovními trojskými koňmi
Kampaň využívala adresy URL kontejneru Google Cloud k hostování phishingových stránek pověření, přičemž cílila na přihlašovací údaje pro Mercado Pago, široce používanou online platební platformu v regionu LATAM. Podle Googlu je FLUXROOT aktérem hrozby za touto kampaní, dříve známý šířením bankovního trojana Grandoreiro . Nedávné aktivity společnosti FLUXROOT také zahrnovaly využívání legitimních cloudových služeb, jako je Microsoft Azure a Dropbox, k distribuci jejich malwaru.
Kyberzločinci využívají cloudové služby k šíření malwaru
V samostatném případě, PINEAPPLE, další aktér ohrožení, zneužil cloudovou infrastrukturu Google k distribuci malwaru Astaroth zloděje (také známého jako Guildma) v útocích zaměřených na brazilské uživatele.
PINEAPPLE kompromitoval instance Google Cloud a vytvořil své vlastní projekty Google Cloud pro generování adres URL kontejnerů na legitimních doménách Google Cloud bez serveru, jako jsou cloudfunctions.net a run.app. Tyto adresy URL hostovaly vstupní stránky, které přesměrovávaly cíle na podvodnou infrastrukturu pro doručení malwaru Astaroth.
Kromě toho se PINEAPPLE pokusil vyhnout obraně e-mailové brány pomocí služeb přeposílání pošty, které umožňují průchod zpráv s neúspěšnými záznamy Sender Policy Framework (SPF). Také manipulovali s polem SMTP Return-Path s neočekávanými daty, aby spustili časové limity požadavků DNS, což způsobilo selhání kontrol ověřování e-mailů.
Zločinci využívají legální služby pro škodlivé účely
K řešení těchto hrozeb společnost Google podnikla kroky ke zmírnění těchto aktivit tím, že ukončila nebezpečné projekty Google Cloud a aktualizovala seznamy Bezpečného prohlížení.
Větší výběr cloudových služeb napříč různými průmyslovými odvětvími bohužel umožnil aktérům ohrožení zneužít tyto platformy pro špatně smýšlející účely, včetně nezákonné těžby kryptoměn kvůli slabým konfiguracím a útokům ransomwaru.
Toto zneužívání je dále usnadněno skutečností, že cloudové služby umožňují protivníkům kombinovat jejich aktivity s běžnými síťovými operacemi, což značně ztěžuje detekci.
Aktéři hrozeb využívají flexibilitu a snadné nasazení platforem bez serveru k distribuci malwaru a hostiteli phishingových stránek. Jak obránci zavádějí detekční a zmírňující opatření, protivníci neustále přizpůsobují svou taktiku, aby se této obraně vyhnuli.
