FLUXROOT Trusselsgruppe
En økonomisk motiveret gruppe baseret i Latinamerika (LATAM), kendt som FLUXROOT, er blevet opdaget ved at bruge Google Clouds serverløse projekter til at udføre legitimationsphishing-kampagner. Denne situation understreger, hvordan cloud computing-modeller kan udnyttes til truende aktiviteter. Udviklere og virksomheder foretrækker serverløse arkitekturer på grund af deres fleksibilitet, omkostningseffektivitet og brugervenlighed. Disse samme fordele gør dog også de serverløse computertjenester tiltalende for cyberkriminelle. De udnytter disse platforme til at distribuere og administrere malware, hoste phishing-websteder og køre svigagtige scripts, der er specielt designet til serverløse miljøer.
Indholdsfortegnelse
FLUXROOT retter sig mod brugere med banktrojanske heste
Kampagnen brugte Google Cloud-beholder-URL'er til at hoste phishing-sider med legitimationsoplysninger og målrettede loginoplysninger til Mercado Pago, en udbredt online betalingsplatform i LATAM-regionen. Ifølge Google er FLUXROOT trusselsaktøren bag denne kampagne, tidligere kendt for at sprede Grandoreiro- banktrojaneren. Nylige aktiviteter fra FLUXROOT har også involveret udnyttelse af legitime cloud-tjenester såsom Microsoft Azure og Dropbox til at distribuere deres malware.
Cyberkriminelle udnytter cloud-tjenester til at sprede malware
I en separat sag har PINEAPPLE, en anden trusselaktør, udnyttet Googles cloud-infrastruktur til at distribuere Astaroth- tyveren malware (også kendt som Guildma) i angreb rettet mod brasilianske brugere.
PINEAPPLE kompromitterede Google Cloud-forekomster og skabte sine egne Google Cloud-projekter for at generere container-URL'er på legitime Google Cloud-serverløse domæner som cloudfunctions.net og run.app. Disse URL'er hostede landingssider, der omdirigerede mål til svigagtig infrastruktur til levering af Astaroth-malwaren.
Derudover forsøgte PINEAPPLE at unddrage sig e-mail-gateway-forsvar ved at bruge postvideresendelsestjenester, der tillader meddelelser med mislykkede Sender Policy Framework-registreringer (SPF) at passere igennem. De manipulerede også SMTP Return-Path-feltet med uventede data for at udløse timeouts for DNS-anmodninger, hvilket fik e-mail-godkendelsestjek til at mislykkes.
Kriminelle drager fordel af lovlige tjenester til skadelige formål
For at imødegå disse trusler har Google taget skridt til at afbøde aktiviteterne ved at lukke usikre Google Cloud-projekter ned og opdatere Safe Browsing-lister.
Det øgede udvalg af cloud-tjenester på tværs af forskellige industrier har desværre gjort det muligt for trusselsaktører at udnytte disse platforme til dårligt sindede formål, herunder ulovlig cryptocurrency-mining på grund af svage konfigurationer og ransomware-angreb.
Denne udnyttelse lettes yderligere af det faktum, at cloud-tjenester tillader modstandere at blande deres aktiviteter med normale netværksoperationer, hvilket gør detektion betydeligt vanskeligere.
Trusselaktører udnytter serverløse platformes fleksibilitet og lette implementering til at distribuere malware og hoste phishing-sider. Efterhånden som forsvarere implementerer detektions- og afhjælpningsforanstaltninger, tilpasser modstandere løbende deres taktik for at undgå disse forsvar.
