Kumpulan Ancaman FLUXROOT
Kumpulan bermotivasi kewangan yang berpangkalan di Amerika Latin (LATAM), dikenali sebagai FLUXROOT, telah dikesan menggunakan projek tanpa pelayan Google Cloud untuk menjalankan kempen pancingan data bukti kelayakan. Keadaan ini menekankan bagaimana model pengkomputeran awan boleh dieksploitasi untuk aktiviti yang mengancam. Pembangun dan perusahaan menggemari seni bina tanpa pelayan kerana fleksibiliti, keberkesanan kos dan kemesraan pengguna. Walau bagaimanapun, kelebihan yang sama ini juga menjadikan perkhidmatan pengkomputeran tanpa pelayan menarik kepada penjenayah siber. Mereka memanfaatkan platform ini untuk mengedar dan mengurus perisian hasad, mengehos tapak pancingan data dan menjalankan skrip penipuan yang direka khusus untuk persekitaran tanpa pelayan.
Isi kandungan
FLUXROOT Menyasarkan Pengguna dengan Trojan Perbankan
Kempen ini menggunakan URL bekas Google Cloud untuk mengehoskan halaman pancingan data bukti kelayakan, menyasarkan kelayakan log masuk untuk Mercado Pago, platform pembayaran dalam talian yang digunakan secara meluas di rantau LATAM. Menurut Google, FLUXROOT ialah aktor ancaman di sebalik kempen ini, sebelum ini dikenali kerana menyebarkan Trojan perbankan Grandoreiro . Aktiviti terbaru oleh FLUXROOT juga melibatkan mengeksploitasi perkhidmatan awan yang sah seperti Microsoft Azure dan Dropbox untuk mengedarkan perisian hasad mereka.
Penjenayah Siber Mengeksploitasi Perkhidmatan Awan untuk Menyebarkan Perisian Hasad
Dalam kes berasingan, PINEAPPLE, seorang lagi pelakon ancaman, telah mengeksploitasi infrastruktur awan Google untuk mengedarkan perisian hasad pencuri Astaroth (juga dikenali sebagai Guildma) dalam serangan yang ditujukan kepada pengguna Brazil.
PINEAPPLE telah menjejaskan kejadian Google Cloud dan mencipta projek Google Cloudnya sendiri untuk menjana URL kontena pada domain tanpa pelayan Google Cloud yang sah seperti cloudfunctions.net dan run.app. URL ini mengehoskan halaman pendaratan yang mengubah hala sasaran kepada infrastruktur penipuan untuk menghantar perisian hasad Astaroth.
Selain itu, PINEAPPLE cuba mengelak pertahanan gerbang e-mel dengan menggunakan perkhidmatan pemajuan mel yang membenarkan mesej dengan rekod Rangka Kerja Dasar Pengirim (SPF) yang gagal melaluinya. Mereka juga memanipulasi medan Laluan Kembali SMTP dengan data yang tidak dijangka untuk mencetuskan tamat masa permintaan DNS, menyebabkan semakan pengesahan e-mel gagal.
Penjenayah Mengambil Manfaat Perkhidmatan Sah untuk Tujuan Memudaratkan
Untuk menangani ancaman ini, Google telah mengambil langkah untuk mengurangkan aktiviti dengan menutup projek Awan Google yang tidak selamat dan mengemas kini senarai Penyemakan Imbas Selamat.
Pertambahan pilihan perkhidmatan awan merentas pelbagai industri malangnya telah membolehkan pelaku ancaman mengeksploitasi platform ini untuk tujuan yang tidak berakal, termasuk perlombongan mata wang kripto haram akibat konfigurasi yang lemah dan serangan perisian tebusan.
Eksploitasi ini dipermudahkan lagi oleh fakta bahawa perkhidmatan awan membenarkan musuh untuk menggabungkan aktiviti mereka dengan operasi rangkaian biasa, menjadikan pengesanan lebih sukar.
Aktor ancaman memanfaatkan fleksibiliti dan kemudahan penggunaan platform tanpa pelayan untuk mengedarkan perisian hasad dan halaman pancingan data menjadi hos. Apabila pembela melaksanakan langkah pengesanan dan mitigasi, musuh terus menyesuaikan taktik mereka untuk mengelak pertahanan ini.
