FLUXROOTi ohurühm
Ladina-Ameerikas (LATAM) asuv rahaliselt motiveeritud grupp, tuntud kui FLUXROOT, tuvastati, kes kasutab Google Cloudi serverita projekte mandaatide andmepüügikampaaniate läbiviimiseks. See olukord rõhutab, kuidas pilvandmetöötluse mudeleid saab ohustavate tegevuste jaoks ära kasutada. Arendajad ja ettevõtted eelistavad serverita arhitektuure nende paindlikkuse, kulutõhususe ja kasutajasõbralikkuse tõttu. Kuid need samad eelised muudavad ka serverita andmetöötlusteenused küberkurjategijatele ahvatlevaks. Nad kasutavad neid platvorme pahavara levitamiseks ja haldamiseks, andmepüügisaitide hostimiseks ja spetsiaalselt serverita keskkondade jaoks loodud petturlike skriptide käitamiseks.
Sisukord
FLUXROOT sihib pangandustroojalastega kasutajaid
Kampaania kasutas mandaadi andmepüügilehtede majutamiseks Google Cloudi konteineri URL-e, sihtides LATAM-i piirkonnas laialdaselt kasutatava võrgumakseplatvormi Mercado Pago sisselogimismandaate. Google'i sõnul on FLUXROOT selle kampaania taga, mis on varem tuntud Grandoreiro pangandustroojalase levitamise poolest. FLUXROOTi hiljutised tegevused on hõlmanud ka seaduslike pilveteenuste, nagu Microsoft Azure ja Dropbox, ärakasutamist oma pahavara levitamiseks.
Küberkurjategijad kasutavad pahavara levitamiseks pilveteenuseid
Eraldi juhtumil on veel üks ohutegija PINEAPPLE kasutanud Google'i pilveinfrastruktuuri, et levitada Brasiilia kasutajatele suunatud rünnetes Astarothi varastatud pahavara (tuntud ka kui Guildma).
PINEAPPLE ohustas Google Cloudi eksemplare ja lõi oma Google Cloudi projektid konteineri URL-ide loomiseks seaduslikes Google Cloudi serverita domeenides, nagu cloudfunctions.net ja run.app. Need URL-id hostisid sihtlehti, mis suunasid sihtmärgid Astarothi pahavara edastamiseks petturlikule infrastruktuurile.
Lisaks üritas PINEAPPLE e-posti lüüsi kaitsest kõrvale hiilida, kasutades meiliedastusteenuseid, mis võimaldavad ebaõnnestunud saatjapoliitika raamistiku (SPF) kirjetega sõnumeid läbida. Samuti manipuleerisid nad välja SMTP Return-Path ootamatute andmetega, et käivitada DNS-i päringu ajalõpud, mis põhjustas meili autentimise kontrolli ebaõnnestumise.
Kurjategijad kasutavad seaduslikke teenuseid kahjulikel eesmärkidel
Nende ohtude lahendamiseks on Google astunud samme tegevuste leevendamiseks, sulgedes ebaturvalised Google'i pilveprojektid ja värskendades turvalise sirvimise loendeid.
Pilveteenuste suurenenud valik erinevates tööstusharudes on kahjuks võimaldanud ohus osalejatel neid platvorme kasutada pahatahtlikel eesmärkidel, sealhulgas nõrkade konfiguratsioonide ja lunavararünnakute tõttu ebaseaduslikul krüptoraha kaevandamisel.
Seda ärakasutamist hõlbustab veelgi asjaolu, et pilveteenused võimaldavad vastastel ühendada oma tegevused tavaliste võrgutoimingutega, muutes tuvastamise oluliselt keerulisemaks.
Ohutegijad kasutavad pahavara levitamiseks ja andmepüügilehtede majutamiseks serverita platvormide paindlikkust ja hõlpsat juurutamist. Kui kaitsjad rakendavad avastamis- ja leevendusmeetmeid, kohandavad vastased pidevalt oma taktikat, et kaitsest kõrvale hiilida.
