Grupa prijetnji FLUXROOT
Financijski motivirana grupa sa sjedištem u Latinskoj Americi (LATAM), poznata kao FLUXROOT, otkrivena je kako koristi Google Cloudove projekte bez poslužitelja za provođenje kampanja krađe vjerodajnica. Ova situacija naglašava kako se modeli računalstva u oblaku mogu iskoristiti za prijeteće aktivnosti. Programeri i poduzeća daju prednost arhitekturama bez poslužitelja zbog njihove fleksibilnosti, isplativosti i lakoće korištenja. Međutim, te iste prednosti također čine računalne usluge bez poslužitelja privlačnim kibernetičkim kriminalcima. Oni koriste te platforme za distribuciju zlonamjernog softvera i upravljanje njime, hosting stranica za krađu identiteta i pokretanje lažnih skripti posebno dizajniranih za okruženja bez poslužitelja.
Sadržaj
FLUXROOT cilja korisnike s bankarskim trojancima
Kampanja je koristila URL-ove spremnika Google Clouda za hostiranje vjerodajnica za phishing stranice, ciljajući vjerodajnice za prijavu za Mercado Pago, široko korištenu platformu za online plaćanje u LATAM regiji. Prema Googleu, FLUXROOT je prijetnja koja stoji iza ove kampanje, prethodno poznata po širenju bankovnog Trojana Grandoreiro . Nedavne aktivnosti FLUXROOT-a također su uključivale iskorištavanje legitimnih usluga u oblaku kao što su Microsoft Azure i Dropbox za distribuciju njihovog zlonamjernog softvera.
Cyberkriminalci iskorištavaju usluge u oblaku za širenje zlonamjernog softvera
U odvojenom slučaju, PINEAPPLE, još jedan akter prijetnje, iskoristio je Googleovu infrastrukturu u oblaku za distribuciju zlonamjernog softvera Astaroth stealer (također poznatog kao Guildma) u napadima usmjerenim na brazilske korisnike.
PINEAPPLE je ugrozio Google Cloud instance i stvorio vlastite Google Cloud projekte za generiranje URL-ova spremnika na legitimnim Google Cloud domenama bez poslužitelja kao što su cloudfunctions.net i run.app. Ti su URL-ovi hostirali odredišne stranice koje su preusmjeravale mete na lažnu infrastrukturu za isporuku zlonamjernog softvera Astaroth.
Dodatno, PINEAPPLE je pokušao izbjeći obranu pristupnika e-pošte korištenjem usluga prosljeđivanja pošte koje dopuštaju prolazak poruka s neispravnim zapisima okvira pravila pošiljatelja (SPF). Također su manipulirali poljem SMTP Return-Path s neočekivanim podacima kako bi pokrenuli isteke DNS zahtjeva, uzrokujući neuspjeh provjere autentičnosti e-pošte.
Kriminalci iskorištavaju legitimne usluge u štetne svrhe
Kako bi riješio te prijetnje, Google je poduzeo korake za ublažavanje aktivnosti gašenjem nesigurnih Google Cloud projekata i ažuriranjem popisa sigurnog pregledavanja.
Povećani izbor usluga u oblaku u raznim industrijama nažalost je omogućio akterima prijetnji da iskoriste te platforme u zlonamjerne svrhe, uključujući nedopušteno rudarenje kriptovaluta zbog slabih konfiguracija i napada ransomwarea.
Ovo iskorištavanje dodatno je olakšano činjenicom da usluge u oblaku dopuštaju protivnicima da pomiješaju svoje aktivnosti s normalnim mrežnim operacijama, čineći otkrivanje znatno težim.
Akteri prijetnji iskorištavaju fleksibilnost i jednostavnost implementacije platformi bez poslužitelja za distribuciju zlonamjernog softvera i host stranica za krađu identiteta. Dok branitelji provode mjere otkrivanja i ublažavanja, protivnici neprestano prilagođavaju svoje taktike kako bi izbjegli ove obrane.
