Skupina groženj FLUXROOT
Finančno motivirana skupina s sedežem v Latinski Ameriki (LATAM), znana kot FLUXROOT, je bila odkrita z uporabo brezstrežniških projektov Google Cloud za izvajanje kampanj lažnega predstavljanja poverilnic. Ta situacija poudarja, kako je mogoče modele računalništva v oblaku izkoristiti za nevarne dejavnosti. Razvijalci in podjetja dajejo prednost arhitekturam brez strežnikov zaradi njihove prilagodljivosti, stroškovne učinkovitosti in prijaznosti do uporabnika. Zaradi teh istih prednosti so računalniške storitve brez strežnikov privlačne tudi za kibernetske kriminalce. Te platforme izkoriščajo za distribucijo in upravljanje zlonamerne programske opreme, gostijo mesta z lažnim predstavljanjem in izvajajo goljufive skripte, posebej zasnovane za okolja brez strežnikov.
Kazalo
FLUXROOT cilja na uporabnike z bančnimi trojanci
Kampanja je uporabila URL-je vsebnika Google Cloud za gostovanje lažnih strani s poverilnicami, ki so ciljale na poverilnice za prijavo v Mercado Pago, široko uporabljeno spletno plačilno platformo v regiji LATAM. Po mnenju Googla je FLUXROOT grožnja za to kampanjo, prej znana po širjenju bančnega trojanca Grandoreiro . Nedavne dejavnosti FLUXROOT so vključevale tudi izkoriščanje zakonitih storitev v oblaku, kot sta Microsoft Azure in Dropbox, za distribucijo njihove zlonamerne programske opreme.
Kibernetski kriminalci izkoriščajo storitve v oblaku za širjenje zlonamerne programske opreme
V ločenem primeru je PINEAPPLE, še en akter grožnje, izkoristil Googlovo infrastrukturo v oblaku za distribucijo zlonamerne programske opreme Astaroth stealer (znane tudi kot Guildma) v napadih, namenjenih brazilskim uporabnikom.
PINEAPPLE je ogrozil primerke Google Cloud in ustvaril lastne projekte Google Cloud za ustvarjanje URL-jev vsebnikov na zakonitih domenah Google Cloud brez strežnika, kot sta cloudfunctions.net in run.app. Ti URL-ji so gostili ciljne strani, ki so cilje preusmerjale na goljufivo infrastrukturo za dostavo zlonamerne programske opreme Astaroth.
Poleg tega se je PINEAPPLE poskušal izogniti obrambi e-poštnih prehodov z uporabo storitev za posredovanje pošte, ki omogočajo prehod sporočil z neuspešnimi zapisi okvira pravilnika pošiljatelja (SPF). Prav tako so manipulirali s poljem SMTP Return-Path z nepričakovanimi podatki, da so sprožili časovne omejitve zahtev DNS, kar je povzročilo neuspešno preverjanje pristnosti e-pošte.
Kriminalci izkoriščajo zakonite storitve za škodljive namene
Za obravnavo teh groženj je Google sprejel ukrepe za ublažitev dejavnosti z zaustavitvijo nevarnih projektov Google Cloud in posodobitvijo seznamov varnega brskanja.
Večja izbira storitev v oblaku v različnih panogah je akterjem groženj na žalost omogočila izkoriščanje teh platform za slaboumne namene, vključno z nedovoljenim rudarjenjem kriptovalut zaradi šibkih konfiguracij in napadov izsiljevalske programske opreme.
To izkoriščanje dodatno olajšuje dejstvo, da storitve v oblaku nasprotnikom omogočajo, da združijo svoje dejavnosti z običajnimi omrežnimi operacijami, zaradi česar je odkrivanje bistveno težje.
Akterji groženj izkoriščajo prilagodljivost in enostavnost uvajanja brezstrežniških platform za distribucijo zlonamerne programske opreme in gostovanje strani z lažnim predstavljanjem. Ko branilci izvajajo ukrepe za odkrivanje in ublažitev, nasprotniki nenehno prilagajajo svoje taktike, da se izognejo tem obrambam.
