Группа угроз FLUXROOT
Финансово мотивированная группа, базирующаяся в Латинской Америке (LATAM), известная как FLUXROOT, была обнаружена с использованием бессерверных проектов Google Cloud для проведения фишинговых кампаний с учетными данными. Эта ситуация подчеркивает, как модели облачных вычислений могут быть использованы для угрожающих действий. Разработчики и предприятия отдают предпочтение бессерверным архитектурам из-за их гибкости, экономичности и удобства для пользователя. Однако эти же преимущества делают услуги бессерверных вычислений привлекательными для киберпреступников. Они используют эти платформы для распространения и управления вредоносным ПО, размещения фишинговых сайтов и запуска мошеннических сценариев, специально разработанных для бессерверных сред.
Оглавление
FLUXROOT атакует пользователей банковскими троянами
В кампании использовались URL-адреса контейнеров Google Cloud для размещения фишинговых страниц с учетными данными, нацеленных на учетные данные для входа в Mercado Pago, широко используемую платформу онлайн-платежей в регионе Латинской Америки. По данным Google, за этой кампанией стоит FLUXROOT, ранее известный как распространитель банковского трояна Grandoreiro . Недавние действия FLUXROOT также включали использование законных облачных сервисов, таких как Microsoft Azure и Dropbox, для распространения вредоносного ПО.
Киберпреступники используют облачные сервисы для распространения вредоносного ПО
В другом случае PINEAPPLE, еще один злоумышленник, использовал облачную инфраструктуру Google для распространения вредоносного ПО-стилера Astaroth (также известного как Guildma) в атаках, направленных на бразильских пользователей.
PINEAPPLE взломал экземпляры Google Cloud и создал собственные проекты Google Cloud для создания URL-адресов контейнеров в законных бессерверных доменах Google Cloud, таких как cloudfunctions.net и run.app. На этих URL-адресах размещались целевые страницы, которые перенаправляли цели на мошенническую инфраструктуру для доставки вредоносного ПО Astaroth.
Кроме того, PINEAPPLE пытался обойти защиту шлюза электронной почты, используя службы пересылки почты, которые позволяют проходить сообщениям с неудачными записями SPF. Они также манипулировали полем SMTP Return-Path, добавляя неожиданные данные, чтобы инициировать таймауты DNS-запросов, что приводило к сбою проверок аутентификации электронной почты.
Преступники пользуются законными услугами во вредных целях
Чтобы устранить эти угрозы, Google предпринял шаги по смягчению последствий этой деятельности, закрыв небезопасные проекты Google Cloud и обновив списки безопасного просмотра.
К сожалению, возросший выбор облачных сервисов в различных отраслях позволил злоумышленникам использовать эти платформы в злонамеренных целях, включая незаконный майнинг криптовалюты из-за слабых конфигураций и атак программ-вымогателей.
Этой эксплуатации еще больше способствует тот факт, что облачные сервисы позволяют злоумышленникам совмещать свою деятельность с обычными сетевыми операциями, что значительно затрудняет обнаружение.
Злоумышленники используют гибкость и простоту развертывания бессерверных платформ для распространения вредоносного ПО и размещения фишинговых страниц. Пока защитники принимают меры по обнаружению и смягчению последствий, противники постоянно адаптируют свою тактику, чтобы обойти эту защиту.
