FLUXROOT-dreigingsgroep
Er is een financieel gemotiveerde groep gevestigd in Latijns-Amerika (LATAM), bekend als FLUXROOT, gedetecteerd die de serverloze projecten van Google Cloud gebruikt om phishing-campagnes met inloggegevens uit te voeren. Deze situatie onderstreept hoe cloud computing-modellen kunnen worden uitgebuit voor bedreigende activiteiten. Ontwikkelaars en ondernemingen geven de voorkeur aan serverloze architecturen vanwege hun flexibiliteit, kosteneffectiviteit en gebruiksvriendelijkheid. Deze zelfde voordelen maken de serverloze computerdiensten echter ook aantrekkelijk voor cybercriminelen. Ze maken gebruik van deze platforms om malware te verspreiden en te beheren, phishing-sites te hosten en frauduleuze scripts uit te voeren die specifiek zijn ontworpen voor serverloze omgevingen.
Inhoudsopgave
FLUXROOT richt zich op gebruikers met banktrojans
De campagne maakte gebruik van container-URL's van Google Cloud om phishing-pagina's met inloggegevens te hosten, gericht op inloggegevens voor Mercado Pago, een veelgebruikt online betalingsplatform in de Latijns-Amerikaanse regio. Volgens Google is FLUXROOT de bedreigingsacteur achter deze campagne, die voorheen bekend stond om de verspreiding van de banktrojan Grandoreiro . Recente activiteiten van FLUXROOT omvatten ook het exploiteren van legitieme clouddiensten zoals Microsoft Azure en Dropbox om hun malware te verspreiden.
Cybercriminelen misbruiken clouddiensten om malware te verspreiden
In een afzonderlijk geval heeft PINEAPPLE, een andere bedreigingsacteur, de cloudinfrastructuur van Google misbruikt om de Astaroth stealer-malware (ook bekend als Guildma) te verspreiden in aanvallen gericht op Braziliaanse gebruikers.
PINEAPPLE heeft Google Cloud-instanties gecompromitteerd en zijn eigen Google Cloud-projecten gemaakt om container-URL's te genereren op legitieme serverloze Google Cloud-domeinen zoals cloudfunctions.net en run.app. Deze URL's hostten landingspagina's die doelen doorverwezen naar een frauduleuze infrastructuur voor het leveren van de Astaroth-malware.
Bovendien probeerde PINEAPPLE de verdediging van de e-mailgateway te omzeilen door e-maildoorstuurdiensten te gebruiken die berichten met mislukte Sender Policy Framework (SPF)-records doorlaten. Ze manipuleerden ook het SMTP Return-Path-veld met onverwachte gegevens om time-outs van DNS-aanvragen te activeren, waardoor controles op e-mailauthenticatie mislukten.
Criminelen maken misbruik van legitieme diensten voor schadelijke doeleinden
Om deze bedreigingen het hoofd te bieden, heeft Google stappen ondernomen om de activiteiten te beperken door onveilige Google Cloud-projecten af te sluiten en Safe Browsing-lijsten bij te werken.
De toegenomen keuze aan clouddiensten in verschillende sectoren heeft bedreigingsactoren helaas in staat gesteld deze platforms te exploiteren voor kwade doeleinden, waaronder illegale cryptocurrency-mining als gevolg van zwakke configuraties en ransomware-aanvallen.
Deze exploitatie wordt verder vergemakkelijkt door het feit dat clouddiensten kwaadwillenden in staat stellen hun activiteiten te combineren met normale netwerkactiviteiten, waardoor detectie aanzienlijk moeilijker wordt.
Bedreigingsactoren maken gebruik van de flexibiliteit en het implementatiegemak van serverloze platforms om malware te verspreiden en phishing-pagina's te hosten. Terwijl verdedigers detectie- en mitigatiemaatregelen implementeren, passen tegenstanders voortdurend hun tactieken aan om deze verdedigingen te omzeilen.
