फ्लक्सरूट खतरा समूह
लैटिन अमेरिका (LATAM) में स्थित एक वित्तीय रूप से प्रेरित समूह, जिसे FLUXROOT के नाम से जाना जाता है, को क्रेडेंशियल फ़िशिंग अभियान चलाने के लिए Google Cloud के सर्वरलेस प्रोजेक्ट का उपयोग करते हुए पाया गया है। यह स्थिति इस बात को रेखांकित करती है कि क्लाउड कंप्यूटिंग मॉडल का उपयोग किस तरह से खतरनाक गतिविधियों के लिए किया जा सकता है। डेवलपर्स और उद्यम सर्वरलेस आर्किटेक्चर को उनके लचीलेपन, लागत-प्रभावशीलता और उपयोगकर्ता-मित्रता के कारण पसंद करते हैं। हालाँकि, यही फायदे सर्वरलेस कंप्यूटिंग सेवाओं को साइबर अपराधियों के लिए आकर्षक भी बनाते हैं। वे इन प्लेटफ़ॉर्म का लाभ मैलवेयर वितरित करने और प्रबंधित करने, फ़िशिंग साइटों को होस्ट करने और सर्वरलेस वातावरण के लिए विशेष रूप से डिज़ाइन की गई धोखाधड़ी वाली स्क्रिप्ट चलाने के लिए उठाते हैं।
विषयसूची
फ्लक्सरूट बैंकिंग ट्रोजन के साथ उपयोगकर्ताओं को लक्षित करता है
इस अभियान ने क्रेडेंशियल फ़िशिंग पेज होस्ट करने के लिए Google क्लाउड कंटेनर URL का उपयोग किया, जो LATAM क्षेत्र में व्यापक रूप से उपयोग किए जाने वाले ऑनलाइन भुगतान प्लेटफ़ॉर्म Mercado Pago के लॉगिन क्रेडेंशियल को लक्षित करता है। Google के अनुसार, FLUXROOT इस अभियान के पीछे का ख़तरा है, जिसे पहले Grandoreiro बैंकिंग ट्रोजन फैलाने के लिए जाना जाता था। FLUXROOT द्वारा हाल ही में की गई गतिविधियों में Microsoft Azure और Dropbox जैसी वैध क्लाउड सेवाओं का शोषण करके उनके मैलवेयर को वितरित करना भी शामिल है।
साइबर अपराधी मैलवेयर फैलाने के लिए क्लाउड सेवाओं का दुरुपयोग कर रहे हैं
एक अलग मामले में, एक अन्य खतरनाक अभिनेता, PINEAPPLE ने ब्राजील के उपयोगकर्ताओं को लक्षित करके एस्टारोथ चोर मैलवेयर (जिसे गिल्डमा के रूप में भी जाना जाता है) वितरित करने के लिए Google के क्लाउड बुनियादी ढांचे का शोषण किया है।
पिनएप्पल ने Google क्लाउड इंस्टेंस से समझौता किया और cloudfunctions.net और run.app जैसे वैध Google क्लाउड सर्वरलेस डोमेन पर कंटेनर URL बनाने के लिए अपने स्वयं के Google क्लाउड प्रोजेक्ट बनाए। इन URL ने लैंडिंग पेज होस्ट किए जो लक्ष्य को एस्टारोथ मैलवेयर वितरित करने के लिए धोखाधड़ी वाले बुनियादी ढांचे पर पुनर्निर्देशित करते थे।
इसके अतिरिक्त, PINEAPPLE ने मेल अग्रेषण सेवाओं का उपयोग करके ईमेल गेटवे सुरक्षा से बचने का प्रयास किया, जो विफल प्रेषक नीति फ्रेमवर्क (SPF) रिकॉर्ड वाले संदेशों को पास होने देती हैं। उन्होंने DNS अनुरोध टाइमआउट को ट्रिगर करने के लिए अप्रत्याशित डेटा के साथ SMTP रिटर्न-पथ फ़ील्ड में भी हेरफेर किया, जिससे ईमेल प्रमाणीकरण जाँच विफल हो गई।
अपराधी हानिकारक उद्देश्यों के लिए वैध सेवाओं का लाभ उठाते हैं
इन खतरों से निपटने के लिए, गूगल ने असुरक्षित गूगल क्लाउड परियोजनाओं को बंद करके और सुरक्षित ब्राउज़िंग सूचियों को अद्यतन करके गतिविधियों को कम करने के लिए कदम उठाए हैं।
विभिन्न उद्योगों में क्लाउड सेवाओं के बढ़ते विकल्प ने दुर्भाग्यवश, खतरनाक तत्वों को इन प्लेटफार्मों का गलत उद्देश्यों के लिए दोहन करने में सक्षम बना दिया है, जिसमें कमजोर कॉन्फ़िगरेशन और रैनसमवेयर हमलों के कारण अवैध क्रिप्टोकरेंसी खनन भी शामिल है।
इस शोषण को इस तथ्य से और भी बढ़ावा मिलता है कि क्लाउड सेवाएं प्रतिद्वंद्वियों को अपनी गतिविधियों को सामान्य नेटवर्क परिचालनों के साथ मिश्रित करने की अनुमति देती हैं, जिससे पता लगाना काफी कठिन हो जाता है।
ख़तरा पैदा करने वाले लोग मैलवेयर वितरित करने और फ़िशिंग पेज होस्ट करने के लिए सर्वरलेस प्लेटफ़ॉर्म की लचीलेपन और तैनाती में आसानी का फ़ायदा उठाते हैं। जैसे-जैसे बचावकर्ता पहचान और शमन उपायों को लागू करते हैं, विरोधी इन बचावों से बचने के लिए लगातार अपनी रणनीति को अनुकूलित करते हैं।
