FLUXROOT Threat Group

קבוצה בעלת מוטיבציה כלכלית שבסיסה באמריקה הלטינית (LATAM), הידועה בשם FLUXROOT, זוהתה המשתמשת בפרויקטים ללא שרתים של Google Cloud כדי לנהל קמפיינים של פישינג עם אישורים. מצב זה מדגיש כיצד ניתן לנצל מודלים של מחשוב ענן לפעילויות מאיימות. מפתחים וארגונים מעדיפים ארכיטקטורות ללא שרת בשל הגמישות, העלות-תועלת וידידותיותן למשתמש. עם זאת, אותם יתרונות גם הופכים את שירותי המחשוב ללא שרתים למושכים פושעי סייבר. הם ממנפים את הפלטפורמות הללו כדי להפיץ ולנהל תוכנות זדוניות, לארח אתרי דיוג ולהריץ סקריפטים הונאה שתוכננו במיוחד עבור סביבות ללא שרתים.

FLUXROOT ממקד למשתמשים עם סוסים טרויאניים בנקאיים

מסע הפרסום השתמש בכתובות אתרים של מיכל של Google Cloud כדי לארח דפי דיוג של אישורים, תוך מיקוד אישורי כניסה עבור Mercado Pago, פלטפורמת תשלום מקוונת בשימוש נרחב באזור LATAM. לפי גוגל, FLUXROOT הוא שחקן האיום שמאחורי הקמפיין הזה, שנודע בעבר בהפצת הטרויאני הבנקאי Grandoreiro . הפעילויות האחרונות של FLUXROOT כללו גם ניצול שירותי ענן לגיטימיים כגון Microsoft Azure ו-Dropbox כדי להפיץ את התוכנה הזדונית שלהם.

פושעי סייבר מנצלים שירותי ענן כדי להפיץ תוכנות זדוניות

במקרה נפרד, PINEAPPLE, שחקן איומים נוסף, ניצל את תשתית הענן של גוגל כדי להפיץ את תוכנת הגניבה Astaroth (הידועה גם בשם Guildma) בהתקפות המכוונות למשתמשים ברזילאים.

PINEAPPLE התפשרה על מופעי Google Cloud ויצרה פרויקטים משלה של Google Cloud כדי ליצור כתובות אתרים של מיכל בדומיינים לגיטימיים ללא שרתים של Google Cloud כמו cloudfunctions.net ו-run.app. כתובות האתרים הללו אירחו דפי נחיתה שהפנו יעדים לתשתית הונאה לאספקת התוכנה הזדונית של Astaroth.

בנוסף, PINEAPPLE ניסה להתחמק מהגנת שער הדואר האלקטרוני על ידי שימוש בשירותי העברת דואר המאפשרים לעבור הודעות עם רשומות של מסגרת מדיניות שולח (SPF) כושלת. הם גם עשו מניפולציות בשדה SMTP Return-Path עם נתונים בלתי צפויים כדי להפעיל פסק זמן של בקשת DNS, מה שגרם לבדיקות אימות דוא"ל להיכשל.

פושעים מנצלים שירותים לגיטימיים למטרות מזיקות

כדי להתמודד עם האיומים הללו, גוגל נקטה צעדים להפחתת הפעילויות על ידי השבתת פרויקטים לא בטוחים של Google Cloud ועדכון רשימות גלישה בטוחה.

הבחירה המוגברת של שירותי ענן בתעשיות שונות אפשרה למרבה הצער לשחקני איומים לנצל את הפלטפורמות הללו למטרות חסרות מחשבה, כולל כריית מטבעות קריפטוגרפיים בלתי חוקיים עקב תצורות חלשות והתקפות של תוכנות כופר.

ניצול זה מוקל עוד יותר על ידי העובדה ששירותי ענן מאפשרים ליריבים למזג את פעילותם עם פעולות רשת רגילות, מה שמקשה משמעותית על הזיהוי.

שחקני איומים ממנפים את הגמישות של פלטפורמות חסרות שרת וקלות הפריסה כדי להפיץ תוכנות זדוניות ולארח דפי פישינג. בזמן שהמגנים מיישמים אמצעי זיהוי והפחתה, היריבים מתאימים כל הזמן את הטקטיקות שלהם כדי להתחמק מהגנות אלו.