FLUXROOT fenyegető csoport
Egy latin-amerikai (LATAM) székhelyű, pénzügyileg motivált csoportot észleltek, amely a FLUXROOT néven ismert, és amely a Google Cloud szerver nélküli projektjeit használja hitelesítő adatokkal kapcsolatos adathalász kampányok végrehajtására. Ez a helyzet rávilágít arra, hogy a felhőalapú számítástechnikai modellek hogyan használhatók ki fenyegető tevékenységekre. A fejlesztők és a vállalatok előnyben részesítik a szerver nélküli architektúrákat rugalmasságuk, költséghatékonyságuk és felhasználóbarát jellegük miatt. Ugyanezek az előnyök azonban vonzóvá teszik a kiszolgáló nélküli számítástechnikai szolgáltatásokat a kiberbűnözők számára is. Ezeket a platformokat kihasználják rosszindulatú programok terjesztésére és kezelésére, adathalász webhelyek üzemeltetésére és csalárd szkriptek futtatására, amelyeket kifejezetten kiszolgáló nélküli környezetekhez terveztek.
Tartalomjegyzék
A FLUXROOT a banki trójai programokkal rendelkező felhasználókat célozza meg
A kampány a Google Cloud konténer URL-jeit használta a hitelesítő adatokkal kapcsolatos adathalász oldalak tárolására, és a Mercado Pago bejelentkezési adatait célozta meg, amely egy széles körben használt online fizetési platform a LATAM régióban. A Google szerint a FLUXROOT a fenyegetés szereplője ennek a kampánynak, amely korábban a Grandoreiro banki trójai terjesztéséről volt ismert. A FLUXROOT közelmúltbeli tevékenységei közé tartozik a legális felhőszolgáltatások, például a Microsoft Azure és a Dropbox kihasználása rosszindulatú programjaik terjesztésére.
A kiberbűnözők a felhőszolgáltatásokat használják ki rosszindulatú programok terjesztésére
Egy másik esetben a PINEAPPLE, egy másik fenyegetettség is kihasználta a Google felhő infrastruktúráját az Astaroth lopó malware (más néven Guildma) terjesztésére brazil felhasználókat célzó támadások során.
A PINEAPPLE kompromittálta a Google Cloud példányait, és létrehozta saját Google Cloud projektjeit, hogy tároló URL-eket generáljon a legitim Google Cloud szerver nélküli domaineken, például a cloudfunctions.net és a run.app. Ezek az URL-ek olyan céloldalakat tartalmaztak, amelyek átirányították a célokat az Astaroth rosszindulatú szoftverek terjesztéséhez csalárd infrastruktúrára.
Ezenkívül a PINEAPPLE megpróbálta kijátszani az e-mail átjárók védelmét levéltovábbítási szolgáltatásokkal, amelyek lehetővé teszik a sikertelen Sender Policy Framework (SPF) rekordokkal rendelkező üzenetek átjutását. Ezenkívül manipulálták az SMTP Return-Path mezőt váratlan adatokkal, hogy kiváltsák a DNS-kérés időtúllépését, ami az e-mail hitelesítési ellenőrzések sikertelenségét okozta.
A bűnözők kártékony célokra használják ki a törvényes szolgáltatásokat
E fenyegetések kezelése érdekében a Google lépéseket tett a tevékenységek mérséklésére a nem biztonságos Google Cloud-projektek leállításával és a Biztonságos Böngészés listáinak frissítésével.
A felhőszolgáltatások megnövekedett választéka a különböző iparágakban sajnos lehetővé tette a fenyegetés szereplői számára, hogy meggondolatlan célokra használják ki ezeket a platformokat, beleértve a gyenge konfigurációk és a zsarolóvírus-támadások miatti tiltott kriptovaluta-bányászatot.
Ezt a kiaknázást tovább könnyíti, hogy a felhőszolgáltatások lehetővé teszik az ellenfelek számára, hogy tevékenységeiket a normál hálózati műveletekkel vegyítsék, ami jelentősen megnehezíti az észlelést.
A fenyegetés szereplői kihasználják a kiszolgáló nélküli platformok rugalmasságát és egyszerű telepítését a rosszindulatú programok terjesztésére és az adathalász oldalak tárolására. Miközben a védők észlelési és enyhítő intézkedéseket hajtanak végre, az ellenfelek folyamatosan módosítják taktikájukat, hogy elkerüljék ezeket a védelmet.
