FLUXROOT 위협 그룹

FLUXROOT로 알려진 라틴 아메리카(LATAM)에 기반을 둔 재정적 동기가 있는 그룹이 Google Cloud의 서버리스 프로젝트를 사용하여 자격증명 피싱 캠페인을 수행하는 것이 감지되었습니다. 이러한 상황은 클라우드 컴퓨팅 모델이 위협 활동에 어떻게 활용될 수 있는지를 강조합니다. 개발자와 기업은 유연성, 비용 효율성 및 사용자 친화성 때문에 서버리스 아키텍처를 선호합니다. 그러나 이러한 동일한 이점으로 인해 서버리스 컴퓨팅 서비스가 사이버 범죄자들에게 매력적으로 다가옵니다. 이들은 이러한 플랫폼을 활용하여 맬웨어를 배포 및 관리하고, 피싱 사이트를 호스팅하며, 서버리스 환경을 위해 특별히 설계된 사기성 스크립트를 실행합니다.

FLUXROOT는 뱅킹 트로이 목마로 사용자를 표적으로 삼습니다.

이 캠페인은 Google Cloud 컨테이너 URL을 활용하여 자격증명 피싱 페이지를 호스팅하고 LATAM 지역에서 널리 사용되는 온라인 결제 플랫폼인 Mercado Pago의 로그인 자격증명을 표적으로 삼았습니다. Google에 따르면 FLUXROOT는 이전에 Grandoreiro 뱅킹 트로이목마를 확산시키는 것으로 알려진 이 캠페인의 배후에 있는 위협 행위자입니다. FLUXROOT의 최근 활동에는 Microsoft Azure 및 Dropbox와 같은 합법적인 클라우드 서비스를 악용하여 악성 코드를 배포하는 것도 포함되었습니다.

사이버 범죄자들은 클라우드 서비스를 악용하여 악성 코드를 확산시킵니다.

또 다른 위협 행위자인 PINEAPPLE은 Google의 클라우드 인프라를 악용하여 브라질 사용자를 겨냥한 공격에 Astaroth 스틸러 악성 코드(Guildma라고도 함)를 배포했습니다.

PINEAPPLE은 Google Cloud 인스턴스를 손상시키고 자체 Google Cloud 프로젝트를 만들어 cloudfunctions.net 및 run.app과 같은 합법적인 Google Cloud 서버리스 도메인에서 컨테이너 URL을 생성했습니다. 이러한 URL은 Astaroth 악성 코드를 전달하기 위해 대상을 사기성 인프라로 리디렉션하는 방문 페이지를 호스팅했습니다.

또한 PINEAPPLE은 실패한 SPF(Sender Policy Framework) 레코드가 포함된 메시지가 통과하도록 허용하는 메일 전달 서비스를 사용하여 이메일 게이트웨이 방어를 회피하려고 시도했습니다. 또한 예상치 못한 데이터로 SMTP 반환 경로 필드를 조작하여 DNS 요청 시간 초과를 유발하여 이메일 인증 확인이 실패하도록 만들었습니다.

범죄자들은 유해한 목적으로 합법적인 서비스를 이용합니다

이러한 위협을 해결하기 위해 Google은 안전하지 않은 Google Cloud 프로젝트를 종료하고 세이프 브라우징 목록을 업데이트하여 활동을 완화하는 조치를 취했습니다.

다양한 산업 분야에서 클라우드 서비스 선택이 늘어나면서 위협 행위자들은 취약한 구성과 랜섬웨어 공격으로 인한 불법 암호화폐 채굴 등 악의 있는 목적으로 이러한 플랫폼을 악용할 수 있게 되었습니다.

이러한 악용은 클라우드 서비스를 통해 공격자가 자신의 활동을 일반적인 네트워크 운영과 혼합하여 탐지를 훨씬 더 어렵게 만든다는 사실로 인해 더욱 촉진됩니다.

위협 행위자는 서버리스 플랫폼의 유연성과 배포 용이성을 활용하여 악성 코드를 배포하고 피싱 페이지를 호스팅합니다. 방어자가 탐지 및 완화 조치를 구현하면 공격자는 이러한 방어를 회피하기 위해 지속적으로 전술을 조정합니다.