گروه تهدید FLUXROOT

یک گروه با انگیزه مالی مستقر در آمریکای لاتین (LATAM)، معروف به FLUXROOT، با استفاده از پروژه‌های بدون سرور Google Cloud برای انجام کمپین‌های فیشینگ اعتبار شناسایی شده است. این وضعیت نشان می‌دهد که چگونه می‌توان از مدل‌های محاسبات ابری برای فعالیت‌های تهدیدآمیز بهره‌برداری کرد. توسعه دهندگان و شرکت ها معماری های بدون سرور را به دلیل انعطاف پذیری، مقرون به صرفه بودن و کاربر پسند بودن آن ها ترجیح می دهند. با این حال، همین مزایا خدمات محاسباتی بدون سرور را برای مجرمان سایبری جذاب می کند. آنها از این پلتفرم ها برای توزیع و مدیریت بدافزارها، میزبانی سایت های فیشینگ و اجرای اسکریپت های تقلبی که به طور خاص برای محیط های بدون سرور طراحی شده اند، استفاده می کنند.

FLUXROOT کاربران را با تروجان های بانکی هدف قرار می دهد

این کمپین از آدرس‌های اینترنتی کانتینر Google Cloud برای میزبانی صفحات فیشینگ اعتبار استفاده کرد، و اعتبارنامه ورود به سیستم Mercado Pago را هدف قرار داد، یک پلت فرم پرداخت آنلاین پرکاربرد در منطقه LATAM. به گفته گوگل، FLUXROOT عامل تهدید کننده این کمپین است که قبلاً به دلیل گسترش تروجان بانکی Grandoreiro شناخته می شد. فعالیت‌های اخیر FLUXROOT همچنین شامل بهره‌برداری از سرویس‌های ابری قانونی مانند Microsoft Azure و Dropbox برای توزیع بدافزارهای خود بوده است.

مجرمان سایبری از خدمات ابری برای انتشار بدافزار سوء استفاده می کنند

در یک مورد جداگانه، PINEAPPLE، یکی دیگر از بازیگران تهدید، از زیرساخت ابری گوگل برای توزیع بدافزار دزد Astaroth (همچنین به عنوان Guildma) در حملاتی که کاربران برزیلی را هدف قرار می دهند، سوء استفاده کرده است.

PINEAPPLE نمونه‌های Google Cloud را به خطر انداخت و پروژه‌های Google Cloud خود را برای ایجاد URLهای کانتینری در دامنه‌های قانونی بدون سرور Google Cloud مانند cloudfunctions.net و run.app ایجاد کرد. این URL ها میزبان صفحات فرود بودند که اهداف را به زیرساخت های جعلی برای ارائه بدافزار Astaroth هدایت می کردند.

علاوه بر این، PINEAPPLE با استفاده از سرویس‌های ارسال نامه‌ای که به پیام‌های دارای سوابق ناموفق چارچوب خط‌مشی فرستنده (SPF) اجازه عبور می‌دهد، از دفاع دروازه‌های ایمیل فرار کند. آنها همچنین فیلد SMTP Return-Path را با داده‌های غیرمنتظره دستکاری کردند تا زمان‌بندی درخواست DNS را ایجاد کنند که باعث می‌شود بررسی‌های احراز هویت ایمیل با شکست مواجه شوند.

مجرمان از خدمات مشروع برای اهداف مضر بهره می برند

برای مقابله با این تهدیدات، Google اقداماتی را برای کاهش فعالیت‌ها با خاموش کردن پروژه‌های ناامن Google Cloud و به‌روزرسانی فهرست‌های Safe Browsing انجام داده است.

افزایش انتخاب خدمات ابری در صنایع مختلف متأسفانه عاملان تهدید را قادر ساخته است که از این پلتفرم‌ها برای اهداف سوء استفاده کنند، از جمله استخراج غیرقانونی ارزهای دیجیتال به دلیل پیکربندی‌های ضعیف و حملات باج‌افزار.

این بهره‌برداری با این واقعیت تسهیل می‌شود که سرویس‌های ابری به دشمنان اجازه می‌دهند فعالیت‌های خود را با عملیات عادی شبکه ترکیب کنند و تشخیص را به‌طور قابل توجهی دشوارتر می‌کند.

عوامل تهدید از انعطاف پذیری و سهولت استقرار پلت فرم های بدون سرور برای توزیع بدافزار و میزبانی صفحات فیشینگ استفاده می کنند. همانطور که مدافعان اقدامات شناسایی و کاهش را اجرا می کنند، دشمنان به طور مداوم تاکتیک های خود را برای فرار از این دفاع ها تطبیق می دهند.