Grupa zagrożeń FLUXROOT
Wykryto grupę o motywacji finansowej z siedzibą w Ameryce Łacińskiej (LATAM), znaną jako FLUXROOT, która wykorzystuje bezserwerowe projekty Google Cloud do prowadzenia kampanii phishingu na podstawie danych uwierzytelniających. Sytuacja ta podkreśla, jak modele przetwarzania w chmurze można wykorzystać do zagrażających działań. Deweloperzy i przedsiębiorstwa preferują architektury bezserwerowe ze względu na ich elastyczność, opłacalność i przyjazność dla użytkownika. Jednak te same zalety sprawiają, że usługi przetwarzania bezserwerowego są atrakcyjne dla cyberprzestępców. Wykorzystują te platformy do dystrybucji i zarządzania złośliwym oprogramowaniem, hostowania witryn phishingowych i uruchamiania fałszywych skryptów zaprojektowanych specjalnie dla środowisk bezserwerowych.
Spis treści
FLUXROOT atakuje użytkowników za pomocą trojanów bankowych
W kampanii wykorzystano adresy URL kontenerów Google Cloud do hostowania stron phishingowych zawierających dane uwierzytelniające, a ich celem były dane logowania do Mercado Pago, powszechnie używanej platformy płatności online w regionie LATAM. Według Google, ugrupowaniem zagrażającym stojącym za tą kampanią jest FLUXROOT, znany wcześniej z rozprzestrzeniania trojana bankowego Grandoreiro . Ostatnie działania FLUXROOT obejmowały również wykorzystywanie legalnych usług w chmurze, takich jak Microsoft Azure i Dropbox, do dystrybucji szkodliwego oprogramowania.
Cyberprzestępcy wykorzystują usługi w chmurze do rozprzestrzeniania złośliwego oprogramowania
W osobnym przypadku PINEAPPLE, inny ugrupowanie zagrażające, wykorzystał infrastrukturę chmury Google do dystrybucji szkodliwego oprogramowania kradnącego Astaroth (znanego również jako Guildma) w atakach skierowanych na brazylijskich użytkowników.
PINEAPPLE włamał się na instancje Google Cloud i utworzył własne projekty Google Cloud w celu generowania adresów URL kontenerów w legalnych domenach bezserwerowych Google Cloud, takich jak cloudfunctions.net i run.app. Pod tymi adresami URL znajdowały się strony docelowe, które przekierowywały cele do fałszywej infrastruktury służącej do dostarczania złośliwego oprogramowania Astaroth.
Ponadto PINEAPPLE próbował ominąć zabezpieczenia bram pocztowych, korzystając z usług przekazywania poczty, które umożliwiają przepuszczanie wiadomości z błędnymi rekordami SPF (Sender Policy Framework). Zmanipulowali także pole ścieżki zwrotnej SMTP, umieszczając nieoczekiwane dane, aby wywołać przekroczenie limitu czasu żądań DNS, co spowodowało niepowodzenie kontroli uwierzytelnienia poczty e-mail.
Przestępcy wykorzystują legalne usługi do szkodliwych celów
Aby zaradzić tym zagrożeniom, Google podjął kroki w celu złagodzenia tych działań, zamykając niebezpieczne projekty Google Cloud i aktualizując listy Bezpiecznego przeglądania.
Większy wybór usług w chmurze w różnych branżach niestety umożliwił cyberprzestępcom wykorzystanie tych platform do niecnych celów, w tym do nielegalnego wydobywania kryptowalut z powodu słabych konfiguracji i ataków oprogramowania ransomware.
Wykorzystywanie to dodatkowo ułatwia fakt, że usługi w chmurze pozwalają przeciwnikom łączyć swoje działania z normalnymi operacjami sieciowymi, co znacznie utrudnia wykrycie.
Podmioty zagrażające wykorzystują elastyczność i łatwość wdrażania platform bezserwerowych do dystrybucji złośliwego oprogramowania i hostowania stron phishingowych. W miarę jak obrońcy wdrażają środki wykrywania i łagodzenia skutków, przeciwnicy stale dostosowują swoją taktykę, aby ominąć tę obronę.
