Ομάδα απειλών FLUXROOT
Μια ομάδα με οικονομικά κίνητρα με έδρα τη Λατινική Αμερική (LATAM), γνωστή ως FLUXROOT, εντοπίστηκε χρησιμοποιώντας έργα χωρίς διακομιστές του Google Cloud για τη διεξαγωγή καμπανιών ηλεκτρονικού ψαρέματος διαπιστευτηρίων. Αυτή η κατάσταση υπογραμμίζει πώς τα μοντέλα υπολογιστικού νέφους μπορούν να αξιοποιηθούν για απειλητικές δραστηριότητες. Οι προγραμματιστές και οι επιχειρήσεις προτιμούν τις αρχιτεκτονικές χωρίς διακομιστή λόγω της ευελιξίας, της οικονομικής αποδοτικότητας και της φιλικότητας προς τον χρήστη. Ωστόσο, αυτά τα ίδια πλεονεκτήματα κάνουν επίσης τις υπηρεσίες υπολογιστών χωρίς διακομιστή ελκυστικές για τους εγκληματίες του κυβερνοχώρου. Αξιοποιούν αυτές τις πλατφόρμες για να διανέμουν και να διαχειρίζονται κακόβουλο λογισμικό, να φιλοξενούν ιστότοπους phishing και να τρέχουν δόλια σενάρια ειδικά σχεδιασμένα για περιβάλλοντα χωρίς διακομιστές.
Πίνακας περιεχομένων
Το FLUXROOT στοχεύει χρήστες με τραπεζικά Trojans
Η καμπάνια χρησιμοποίησε διευθύνσεις URL κοντέινερ του Google Cloud για τη φιλοξενία σελίδων phishing διαπιστευτηρίων, στοχεύοντας διαπιστευτήρια σύνδεσης για το Mercado Pago, μια ευρέως χρησιμοποιούμενη διαδικτυακή πλατφόρμα πληρωμών στην περιοχή LATAM. Σύμφωνα με την Google, το FLUXROOT είναι ο παράγοντας απειλής πίσω από αυτήν την καμπάνια, παλαιότερα γνωστός για τη διάδοση του τραπεζικού Trojan Grandoreiro . Πρόσφατες δραστηριότητες της FLUXROOT περιελάμβαναν επίσης την εκμετάλλευση νόμιμων υπηρεσιών cloud όπως το Microsoft Azure και το Dropbox για τη διανομή του κακόβουλου λογισμικού τους.
Κυβερνοεγκληματίες εκμεταλλεύονται τις υπηρεσίες Cloud για να διαδώσουν κακόβουλο λογισμικό
Σε μια ξεχωριστή περίπτωση, το PINEAPPLE, ένας άλλος παράγοντας απειλής, εκμεταλλεύτηκε την υποδομή cloud της Google για να διανείμει το κακόβουλο λογισμικό κλοπής Astaroth (επίσης γνωστό ως Guildma) σε επιθέσεις που στοχεύουν Βραζιλιάνους χρήστες.
Το PINEAPPLE παραβίασε παρουσίες του Google Cloud και δημιούργησε τα δικά του έργα Google Cloud για τη δημιουργία διευθύνσεων URL κοντέινερ σε νόμιμους τομείς χωρίς διακομιστή του Google Cloud, όπως το cloudfunctions.net και το run.app. Αυτά τα URL φιλοξενούσαν σελίδες προορισμού που ανακατεύθυναν στόχους σε δόλια υποδομή για την παράδοση του κακόβουλου λογισμικού Astaroth.
Επιπλέον, το PINEAPPLE προσπάθησε να αποφύγει τις άμυνες της πύλης email χρησιμοποιώντας υπηρεσίες προώθησης αλληλογραφίας που επιτρέπουν τη διέλευση μηνυμάτων με αποτυχημένες εγγραφές στο πλαίσιο πολιτικής αποστολέα (SPF). Επίσης, χειρίστηκαν το πεδίο SMTP Return-Path με απροσδόκητα δεδομένα για να ενεργοποιήσουν χρονικά όρια αιτήματος DNS, προκαλώντας την αποτυχία των ελέγχων ελέγχου ταυτότητας email.
Οι εγκληματίες εκμεταλλεύονται τις νόμιμες υπηρεσίες για επιβλαβείς σκοπούς
Για να αντιμετωπίσει αυτές τις απειλές, η Google έχει λάβει μέτρα για να μετριάσει τις δραστηριότητες τερματίζοντας μη ασφαλή έργα Google Cloud και ενημερώνοντας τις λίστες Ασφαλούς περιήγησης.
Η αυξημένη επιλογή υπηρεσιών cloud σε διάφορες βιομηχανίες επέτρεψε δυστυχώς στους παράγοντες απειλών να εκμεταλλευτούν αυτές τις πλατφόρμες για κακοπροαίρετους σκοπούς, συμπεριλαμβανομένης της παράνομης εξόρυξης κρυπτονομισμάτων λόγω αδύναμων διαμορφώσεων και επιθέσεων ransomware.
Αυτή η εκμετάλλευση διευκολύνεται περαιτέρω από το γεγονός ότι οι υπηρεσίες cloud επιτρέπουν στους αντιπάλους να συνδυάζουν τις δραστηριότητές τους με τις κανονικές λειτουργίες δικτύου, καθιστώντας τον εντοπισμό σημαντικά πιο δύσκολο.
Οι φορείς απειλών αξιοποιούν την ευελιξία και την ευκολία ανάπτυξης των πλατφορμών χωρίς διακομιστές για τη διανομή κακόβουλου λογισμικού και τη φιλοξενία σελίδων phishing. Καθώς οι υπερασπιστές εφαρμόζουν μέτρα ανίχνευσης και μετριασμού, οι αντίπαλοι προσαρμόζουν συνεχώς τις τακτικές τους για να αποφύγουν αυτές τις άμυνες.
