Grupi i Kërcënimit FLUXROOT
Një grup i motivuar financiarisht me bazë në Amerikën Latine (LATAM), i njohur si FLUXROOT, është zbuluar duke përdorur projektet pa server të Google Cloud për të kryer fushata phishing kredenciale. Kjo situatë nënvizon se si modelet e informatikës cloud mund të shfrytëzohen për aktivitete kërcënuese. Zhvilluesit dhe ndërmarrjet favorizojnë arkitekturat pa server për shkak të fleksibilitetit, efektivitetit të kostos dhe lehtësisë ndaj përdoruesit. Sidoqoftë, të njëjtat avantazhe i bëjnë gjithashtu shërbimet kompjuterike pa server tërheqës për kriminelët kibernetikë. Ata përdorin këto platforma për të shpërndarë dhe menaxhuar malware, për të pritur faqe phishing dhe për të drejtuar skriptet mashtruese të krijuara posaçërisht për mjedise pa server.
Tabela e Përmbajtjes
FLUXROOT synon përdoruesit me trojan bankar
Fushata përdori URL-të e kontejnerëve të Google Cloud për të pritur faqet e phishing të kredencialeve, duke synuar kredencialet e hyrjes për Mercado Pago, një platformë pagesash në internet e përdorur gjerësisht në rajonin LATAM. Sipas Google, FLUXROOT është aktori i kërcënimit pas kësaj fushate, i njohur më parë për përhapjen e Trojanit bankar Grandoreiro . Aktivitetet e fundit nga FLUXROOT kanë përfshirë gjithashtu shfrytëzimin e shërbimeve të ligjshme cloud si Microsoft Azure dhe Dropbox për të shpërndarë malware-in e tyre.
Kriminelët kibernetikë shfrytëzojnë shërbimet e resë kompjuterike për të përhapur malware
Në një rast të veçantë, PINEAPPLE, një tjetër aktor kërcënues, ka shfrytëzuar infrastrukturën cloud të Google për të shpërndarë malware-in e vjedhësit Astaroth (i njohur gjithashtu si Guildma) në sulme që synojnë përdoruesit brazilianë.
PINEAPPLE komprometoi instancat e Google Cloud dhe krijoi projektet e veta të Google Cloud për të gjeneruar URL të kontejnerëve në domenet legjitime pa server të Google Cloud si cloudfunctions.net dhe run.app. Këto URL strehonin faqet e uljes që ridrejtonin objektivat në infrastrukturën mashtruese për dërgimin e malware Astaroth.
Për më tepër, PINEAPPLE u përpoq të shmangte mbrojtjen e portës së postës elektronike duke përdorur shërbimet e përcjelljes së postës që lejojnë kalimin e mesazheve me regjistrime të dështuara të Politikës së Dërguesit (SPF). Ata gjithashtu manipuluan fushën SMTP Return-Path me të dhëna të papritura për të shkaktuar afate kohore të kërkesës DNS, duke shkaktuar dështimin e kontrolleve të vërtetimit të emailit.
Kriminelët përfitojnë nga shërbimet legjitime për qëllime të dëmshme
Për të adresuar këto kërcënime, Google ka ndërmarrë hapa për të zbutur aktivitetet duke mbyllur projektet e pasigurta të Google Cloud dhe duke përditësuar listat e Shfletimit të Sigurt.
Zgjedhja e shtuar e shërbimeve cloud në industri të ndryshme ka mundësuar për fat të keq aktorët e kërcënimit që të shfrytëzojnë këto platforma për qëllime keqdashëse, duke përfshirë minierat e paligjshme të kriptomonedhave për shkak të konfigurimeve të dobëta dhe sulmeve të ransomware.
Ky shfrytëzim lehtësohet më tej nga fakti që shërbimet cloud i lejojnë kundërshtarët të përziejnë aktivitetet e tyre me operacionet normale të rrjetit, duke e bërë zbulimin dukshëm më të vështirë.
Aktorët e kërcënimit përdorin fleksibilitetin e platformave pa server dhe lehtësinë e vendosjes për të shpërndarë programe keqdashëse dhe për të pritur faqe phishing. Ndërsa mbrojtësit zbatojnë masa zbulimi dhe zbutjeje, kundërshtarët vazhdimisht përshtatin taktikat e tyre për t'iu shmangur këtyre mbrojtjeve.
