FLUXROOT Trusselgruppe
En økonomisk motivert gruppe basert i Latin-Amerika (LATAM), kjent som FLUXROOT, har blitt oppdaget ved å bruke Google Clouds serverløse prosjekter for å gjennomføre phishing-kampanjer med legitimasjon. Denne situasjonen understreker hvordan cloud computing-modeller kan utnyttes for truende aktiviteter. Utviklere og bedrifter favoriserer serverløse arkitekturer på grunn av deres fleksibilitet, kostnadseffektivitet og brukervennlighet. Imidlertid gjør disse samme fordelene også de serverløse databehandlingstjenestene attraktive for nettkriminelle. De utnytter disse plattformene til å distribuere og administrere skadelig programvare, være vert for phishing-nettsteder og kjøre uredelige skript spesielt utviklet for serverløse miljøer.
Innholdsfortegnelse
FLUXROOT retter seg mot brukere med banktrojanere
Kampanjen brukte Google Cloud-beholder-URLer for å være vert for phishing-sider med legitimasjon, målrettet påloggingsinformasjon for Mercado Pago, en mye brukt nettbasert betalingsplattform i LATAM-regionen. Ifølge Google er FLUXROOT trusselaktøren bak denne kampanjen, tidligere kjent for å spre Grandoreiro- banktrojaneren. Nylige aktiviteter av FLUXROOT har også involvert utnyttelse av legitime skytjenester som Microsoft Azure og Dropbox for å distribuere skadelig programvare.
Nettkriminelle utnytter skytjenester for å spre skadelig programvare
I en separat sak har PINEAPPLE, en annen trusselaktør, utnyttet Googles skyinfrastruktur for å distribuere Astaroth- tyveren malware (også kjent som Guildma) i angrep rettet mot brasilianske brukere.
PINEAPPLE kompromitterte Google Cloud-forekomster og opprettet sine egne Google Cloud-prosjekter for å generere container-URL-er på legitime Google Cloud-serverløse domener som cloudfunctions.net og run.app. Disse nettadressene var vert for landingssider som omdirigerte mål til uredelig infrastruktur for levering av Astaroth-skadevare.
I tillegg forsøkte PINEAPPLE å unngå e-postportforsvar ved å bruke videresendingstjenester som lar meldinger med mislykkede Sender Policy Framework-poster (SPF) passere. De manipulerte også SMTP Return-Path-feltet med uventede data for å utløse tidsavbrudd for DNS-forespørsel, noe som førte til at e-postautentiseringssjekker mislyktes.
Kriminelle drar nytte av legitime tjenester for skadelige formål
For å møte disse truslene har Google tatt skritt for å redusere aktivitetene ved å stenge utrygge Google Cloud-prosjekter og oppdatere Safe Browsing-lister.
Det økte utvalget av skytjenester på tvers av ulike bransjer har dessverre gjort det mulig for trusselaktører å utnytte disse plattformene til ondsinnede formål, inkludert ulovlig utvinning av kryptovaluta på grunn av svake konfigurasjoner og løsepenge-angrep.
Denne utnyttelsen forenkles ytterligere av det faktum at skytjenester lar motstandere blande sine aktiviteter med normal nettverksdrift, noe som gjør deteksjon betydelig vanskeligere.
Trusselaktører utnytter serverløse plattformers fleksibilitet og enkle distribusjon for å distribuere skadelig programvare og være vert for phishing-sider. Mens forsvarere implementerer oppdagelses- og avbøtende tiltak, tilpasser motstandere kontinuerlig taktikken for å unngå disse forsvarene.
