FLUXROOT grėsmių grupė
Buvo aptikta, kad Lotynų Amerikoje (LATAM) įsikūrusi finansiškai motyvuota grupė, žinoma kaip FLUXROOT, naudoja „Google Cloud“ projektus be serverių, kad vykdytų kredencialų sukčiavimo kampanijas. Ši situacija pabrėžia, kaip debesų kompiuterijos modeliai gali būti naudojami grėsmingai veiklai. Kūrėjai ir įmonės pirmenybę teikia architektūroms be serverių dėl jų lankstumo, ekonomiškumo ir patogumo vartotojui. Tačiau dėl tų pačių pranašumų kompiuterių be serverių paslaugos taip pat patrauklios kibernetiniams nusikaltėliams. Jie naudoja šias platformas platindami ir valdydami kenkėjiškas programas, priglobdami sukčiavimo svetaines ir vykdydami nesąžiningus scenarijus, specialiai sukurtus aplinkai be serverio.
Turinys
FLUXROOT skirta vartotojams, turintiems bankininkystės Trojos arklys
Kampanijoje buvo naudojami „Google Cloud“ sudėtinio rodinio URL, kad būtų galima priglobti kredencialų sukčiavimo puslapius, taikant „Mercado Pago“ – plačiai naudojamos internetinių mokėjimo platformų LATAM regione – prisijungimo duomenis. „Google“ teigimu, FLUXROOT yra šios kampanijos grėsmės veikėjas, anksčiau žinomas kaip Grandoreiro bankininkystės Trojos arklys platinimas. Pastaroji FLUXROOT veikla taip pat buvo susijusi su teisėtų debesijos paslaugų, pvz., „Microsoft Azure“ ir „Dropbox“, naudojimu savo kenkėjiškų programų platinimui.
Kibernetiniai nusikaltėliai naudojasi debesų paslaugomis kenkėjiškoms programoms platinti
Atskiru atveju PINEAPPLE, kitas grėsmės veikėjas, išnaudojo „Google“ debesų infrastruktūrą, kad platintų „Astaroth“ vagių kenkėjišką programą (taip pat žinomą kaip „Guildma“) atakoms, nukreiptoms į Brazilijos vartotojus.
PINEAPPLE pažeidė „Google Cloud“ egzempliorius ir sukūrė savo „Google Cloud“ projektus, kad generuotų sudėtinių rodinių URL teisėtuose „Google Cloud“ be serverių domenuose, pvz., cloudfunctions.net ir run.app. Šiuose URL buvo priglobti nukreipimo puslapiai, nukreipiantys taikinius į nesąžiningą Astaroth kenkėjiškos programos pristatymo infrastruktūrą.
Be to, PINEAPPLE bandė išvengti el. pašto šliuzo apsaugos naudodamas laiškų persiuntimo paslaugas, kurios leidžia perduoti pranešimus su nepavykusiais siuntėjo politikos sistemos (SPF) įrašais. Jie taip pat manipuliavo lauke SMTP grįžimo kelias su netikėtais duomenimis, kad suaktyvintų DNS užklausos skirtąjį laiką, todėl el. pašto autentifikavimo patikros nepavykdavo.
Nusikaltėliai naudojasi teisėtomis paslaugomis siekdami žalingų tikslų
Siekdama pašalinti šias grėsmes, „Google“ ėmėsi veiksmų, kad sumažintų veiklą, uždarydama nesaugius „Google“ debesies projektus ir atnaujindama saugaus naršymo sąrašus.
Padidėjęs debesijos paslaugų pasirinkimas įvairiose pramonės šakose, deja, leido grėsmės subjektams išnaudoti šias platformas netinkamiems tikslams, įskaitant neteisėtą kriptovaliutų kasimą dėl silpnų konfigūracijų ir išpirkos reikalaujančių atakų.
Šį išnaudojimą dar labiau palengvina tai, kad debesijos paslaugos leidžia priešininkams derinti savo veiklą su įprastomis tinklo operacijomis, todėl aptikimas žymiai apsunkinamas.
Grėsmių subjektai, norėdami platinti kenkėjiškas programas ir priglobti sukčiavimo puslapius, naudoja platformų be serverių lankstumą ir lengvą diegimą. Gynėjams įgyvendinant aptikimo ir švelninimo priemones, priešai nuolat pritaiko savo taktiką, kad išvengtų šios gynybos.
