FLUXROOT-uhkaryhmä
Latinalaisessa Amerikassa (LATAM) toimiva taloudellisesti motivoitunut ryhmä, joka tunnetaan nimellä FLUXROOT, on havaittu käyttävän Google Cloudin palvelimettomia projekteja valtuustietojen kalastelukampanjoiden toteuttamiseen. Tämä tilanne korostaa, kuinka pilvilaskentamalleja voidaan hyödyntää uhkaaviin toimiin. Kehittäjät ja yritykset suosivat palvelimettomia arkkitehtuureja niiden joustavuuden, kustannustehokkuuden ja käyttäjäystävällisyyden vuoksi. Nämä samat edut tekevät kuitenkin myös palvelimettomista laskentapalveluista houkuttelevia kyberrikollisille. Ne hyödyntävät näitä alustoja haittaohjelmien levittämiseen ja hallintaan, tietojenkalastelusivustojen isännöimiseen ja petollisten komentosarjojen suorittamiseen, jotka on suunniteltu erityisesti palvelimettomiin ympäristöihin.
Sisällysluettelo
FLUXROOT kohdistaa käyttäjiin, joilla on pankkitroijalaisia
Kampanja käytti Google Cloud -säilö-URL-osoitteita tunnistetietojen kalastelusivujen isännöimiseen, ja se kohdistui Mercado Pagon kirjautumistietoihin, laajalti käytettyyn verkkomaksualustaan LATAM-alueella. Googlen mukaan FLUXROOT on tämän kampanjan takana oleva uhkatekijä, joka tunnettiin aiemmin Grandoreiro -pankkitroijalaisen levittämisestä. FLUXROOTin viimeaikaisiin toimiin on kuulunut myös laillisten pilvipalvelujen, kuten Microsoft Azure ja Dropbox, hyödyntäminen haittaohjelmiensa levittämiseen.
Kyberrikolliset hyödyntävät pilvipalveluita haittaohjelmien levittämiseen
Eräässä tapauksessa PINEAPPLE, toinen uhkatekijä, on hyödyntänyt Googlen pilviinfrastruktuuria levittääkseen Astaroth- varkaushaittaohjelmaa (tunnetaan myös nimellä Guildma) brasilialaisia käyttäjiä vastaan suunnatuissa hyökkäyksissä.
PINEAPPLE vaaransi Google Cloud -esiintymiä ja loi omia Google Cloud -projektejaan luodakseen säilö-URL-osoitteita laillisille Google Cloud -palvelimettomille verkkotunnuksille, kuten cloudfunctions.net ja run.app. Nämä URL-osoitteet isännöivät aloitussivuja, jotka uudelleenohjasivat kohteet vilpilliseen infrastruktuuriin Astaroth-haittaohjelman toimittamiseksi.
Lisäksi PINEAPPLE yritti kiertää sähköpostin yhdyskäytävän suojauksia käyttämällä postin edelleenlähetyspalveluita, jotka sallivat epäonnistuneiden SPF (Sender Policy Framework) -tietueiden läpi kulkemisen. He myös manipuloivat SMTP Return-Path -kenttää odottamattomilla tiedoilla käynnistääkseen DNS-pyyntöjen aikakatkaisut, mikä aiheutti sähköpostin todennustarkistuksia epäonnistumisen.
Rikolliset käyttävät laillisia palveluja haitallisiin tarkoituksiin
Näiden uhkien torjumiseksi Google on ryhtynyt toimiin toimintojen lieventämiseksi sulkemalla vaaralliset Google Cloud -projektit ja päivittämällä Selaussuoja-luetteloita.
Pilvipalveluiden lisääntynyt valikoima eri toimialoilla on valitettavasti antanut uhkatoimijoille mahdollisuuden hyödyntää näitä alustoja huonokuntoisiin tarkoituksiin, mukaan lukien laittomaan kryptovaluutan louhintaan heikkojen konfiguraatioiden ja kiristysohjelmien vuoksi.
Tätä hyväksikäyttöä helpottaa entisestään se, että pilvipalvelut antavat vihollisille mahdollisuuden yhdistää toimintaansa normaaleihin verkkotoimintoihin, mikä tekee havaitsemisesta huomattavasti vaikeampaa.
Uhkatoimijat hyödyntävät palvelimettomien alustojen joustavuutta ja helppokäyttöisyyttä haittaohjelmien levittämiseen ja tietojenkalastelusivujen isännöimiseen. Puolustajien toteuttaessa havaitsemis- ja lieventäviä toimenpiteitä vastustajat mukauttavat jatkuvasti taktiikkaansa kiertääkseen näitä puolustuksia.
