Skupina hrozieb FLUXROOT
Finančne motivovaná skupina so sídlom v Latinskej Amerike (LATAM), známa ako FLUXROOT, bola zistená, že používa projekty Google Cloud bez serverov na vykonávanie kampaní zameraných na neoprávnené získavanie údajov. Táto situácia podčiarkuje, ako možno modely cloud computingu využiť na ohrozujúce aktivity. Vývojári a podniky uprednostňujú bezserverové architektúry kvôli ich flexibilite, nákladovej efektívnosti a užívateľskej prívetivosti. Tieto isté výhody však tiež robia bezserverové počítačové služby príťažlivými pre kyberzločincov. Tieto platformy využívajú na distribúciu a správu škodlivého softvéru, hosťujú phishingové stránky a spúšťajú podvodné skripty špeciálne navrhnuté pre prostredia bez serverov.
Obsah
FLUXROOT sa zameriava na používateľov s bankovými trójskymi koňmi
Kampaň využívala adresy URL kontajnerov Google Cloud na hosťovanie stránok neoprávneného získavania údajov s prihlasovacími údajmi so zacielením na prihlasovacie údaje pre Mercado Pago, široko používanú online platobnú platformu v regióne Latinskej Ameriky. Podľa spoločnosti Google je FLUXROOT aktérom hrozby za touto kampaňou, ktorý bol predtým známy šírením bankového trójskeho koňa Grandoreiro . Nedávne aktivity spoločnosti FLUXROOT tiež zahŕňali využívanie legitímnych cloudových služieb, ako sú Microsoft Azure a Dropbox, na distribúciu ich škodlivého softvéru.
Kyberzločinci využívajú cloudové služby na šírenie škodlivého softvéru
V samostatnom prípade, PINEAPPLE, ďalší aktér hrozby, využil cloudovú infraštruktúru Google na distribúciu škodlivého softvéru Astaroth (známeho aj ako Guildma) v útokoch zameraných na brazílskych používateľov.
PINEAPPLE kompromitoval inštancie Google Cloud a vytvoril svoje vlastné projekty Google Cloud na generovanie kontajnerových webových adries na legitímnych doménach Google Cloud bez serverov, ako sú cloudfunctions.net a run.app. Tieto adresy URL hostili vstupné stránky, ktoré presmerovali ciele na podvodnú infraštruktúru na doručenie malvéru Astaroth.
Okrem toho sa PINEAPPLE pokúsil vyhnúť obrane e-mailovej brány pomocou služieb preposielania pošty, ktoré umožňujú prechod správ s neúspešnými záznamami Sender Policy Framework (SPF). Tiež manipulovali s poľom SMTP Return-Path s neočakávanými údajmi, aby spustili časové limity požiadaviek DNS, čo spôsobilo zlyhanie kontroly overenia e-mailu.
Zločinci využívajú legitímne služby na škodlivé účely
Na riešenie týchto hrozieb spoločnosť Google podnikla kroky na zmiernenie týchto aktivít vypnutím nebezpečných projektov Google Cloud a aktualizáciou zoznamov Bezpečného prehliadania.
Väčší výber cloudových služieb v rôznych odvetviach, žiaľ, umožnil aktérom hrozieb využívať tieto platformy na zlé účely, vrátane nezákonnej ťažby kryptomien v dôsledku slabých konfigurácií a útokov ransomware.
Toto zneužívanie je ďalej uľahčené skutočnosťou, že cloudové služby umožňujú protivníkom spojiť ich aktivity s bežnými sieťovými operáciami, čo značne sťažuje detekciu.
Aktéri hrozieb využívajú flexibilitu platforiem bez serverov a jednoduchosť ich nasadenia na distribúciu malvéru a hostiteľa stránok phishingu. Keď obrancovia implementujú detekčné a zmierňujúce opatrenia, protivníci neustále prispôsobujú svoju taktiku, aby sa tejto obrane vyhli.
