FLUXROOT draudu grupa
Ir atklāts, ka finansiāli motivēta grupa, kas atrodas Latīņamerikā (LATAM), kas pazīstama kā FLUXROOT, izmanto Google Cloud bezserveru projektus, lai veiktu akreditācijas datu pikšķerēšanas kampaņas. Šī situācija uzsver, kā mākoņdatošanas modeļus var izmantot apdraudošām darbībām. Izstrādātāji un uzņēmumi dod priekšroku bezserveru arhitektūrām to elastības, rentabilitātes un lietotājam draudzīguma dēļ. Tomēr šīs pašas priekšrocības arī padara bezserveru skaitļošanas pakalpojumus pievilcīgus kibernoziedzniekiem. Viņi izmanto šīs platformas, lai izplatītu un pārvaldītu ļaunprātīgu programmatūru, mitinātu pikšķerēšanas vietnes un palaistu krāpnieciskus skriptus, kas īpaši izstrādāti vidēm bez serveriem.
Satura rādītājs
FLUXROOT ir paredzēts lietotājiem ar banku Trojas zirgiem
Kampaņā tika izmantoti Google Cloud konteineru vietrāži URL, lai mitinātu akreditācijas datu pikšķerēšanas lapas, lai atlasītu pieteikšanās akreditācijas datus Mercado Pago — plaši izmantotai tiešsaistes maksājumu platformai LATAM reģionā. Saskaņā ar Google datiem, FLUXROOT ir šīs kampaņas galvenais apdraudējums, kas iepriekš bija pazīstams ar Grandoreiro banku Trojas zirga izplatīšanu. Nesenās FLUXROOT darbības ir saistītas arī ar likumīgu mākoņpakalpojumu, piemēram, Microsoft Azure un Dropbox, izmantošanu ļaunprātīgas programmatūras izplatīšanai.
Kibernoziedznieki izmanto mākoņpakalpojumus, lai izplatītu ļaunprātīgu programmatūru
Atsevišķā gadījumā PINEAPPLE, vēl viens apdraudējums, ir izmantojis Google mākoņa infrastruktūru, lai izplatītu Astaroth zagļu ļaunprogrammatūru (pazīstamu arī kā Guildma) uzbrukumos, kas vērsti pret Brazīlijas lietotājiem.
PINEAPPLE apdraudēja Google Cloud gadījumus un izveidoja savus Google Cloud projektus, lai ģenerētu konteineru URL likumīgos Google Cloud bezserveru domēnos, piemēram, cloudfunctions.net un run.app. Šajos vietrāžos URL tika mitinātas galvenās lapas, kas novirzīja mērķus uz krāpniecisku infrastruktūru, lai piegādātu Astaroth ļaunprātīgu programmatūru.
Turklāt PINEAPPLE mēģināja izvairīties no e-pasta vārtejas aizsardzības, izmantojot pasta pārsūtīšanas pakalpojumus, kas ļauj nosūtīt ziņojumus ar neveiksmīgiem Sender Policy Framework (SPF) ierakstiem. Viņi arī manipulēja ar lauku SMTP atgriešanas ceļš ar neparedzētiem datiem, lai aktivizētu DNS pieprasījuma taimautu, izraisot e-pasta autentifikācijas pārbaužu neveiksmi.
Noziedznieki izmanto likumīgus pakalpojumus kaitīgos nolūkos
Lai novērstu šos draudus, Google ir veicis pasākumus, lai mazinātu darbības, slēdzot nedrošos Google mākoņa projektus un atjauninot Drošas pārlūkošanas sarakstus.
Palielinātā mākoņpakalpojumu izvēle dažādās nozarēs diemžēl ir ļāvusi apdraudējuma dalībniekiem izmantot šīs platformas nepārdomātiem mērķiem, tostarp nelegālai kriptovalūtas ieguvei vāju konfigurāciju un izspiedējvīrusu uzbrukumu dēļ.
Šo izmantošanu vēl vairāk atvieglo fakts, ka mākoņpakalpojumi ļauj pretiniekiem apvienot savas darbības ar parasto tīkla darbību, ievērojami apgrūtinot noteikšanu.
Draudu dalībnieki izmanto bezserveru platformu elastību un izvietošanas vienkāršību, lai izplatītu ļaunprātīgu programmatūru un mitinātu pikšķerēšanas lapas. Aizstāvjiem īstenojot atklāšanas un mazināšanas pasākumus, pretinieki nepārtraukti pielāgo savu taktiku, lai izvairītos no šīs aizsardzības.
