ФЛУКСРООТ Група претњи
Финансијски мотивисана група са седиштем у Латинској Америци (ЛАТАМ), позната као ФЛУКСРООТ, откривена је како користи пројекте Гоогле Цлоуд-а без сервера за спровођење кампања за пхисхинг акредитива. Ова ситуација наглашава како се модели рачунарства у облаку могу искористити за претеће активности. Програмери и предузећа фаворизују архитектуре без сервера због њихове флексибилности, економичности и лакоће коришћења. Међутим, ове исте предности такође чине рачунарске услуге без сервера привлачним за сајбер криминалце. Они користе ове платформе за дистрибуцију и управљање малвером, хостовање сајтова за пхисхинг и покретање лажних скрипти посебно дизајнираних за окружења без сервера.
Преглед садржаја
ФЛУКСРООТ циља кориснике са банкарским тројанцима
Кампања је користила УРЛ-ове Гоогле Цлоуд контејнера за хостовање страница за пхисхинг акредитива, циљајући акредитиве за пријаву за Мерцадо Паго, широко коришћену платформу за плаћање на мрежи у региону ЛАТАМ. Према Гоогле-у, ФЛУКСРООТ је актер претње иза ове кампање, раније познат по ширењу банкарског тројанца Грандореиро . Недавне активности компаније ФЛУКСРООТ такође су укључивале искоришћавање легитимних услуга у облаку као што су Мицрософт Азуре и Дропбок за дистрибуцију њиховог малвера.
Сајбер криминалци искоришћавају услуге у облаку за ширење злонамерног софтвера
У посебном случају, ПИНЕАППЛЕ, још један актер претњи, искористио је Гоогле-ову инфраструктуру облака да дистрибуира малвер за крађу Астаротх (такође познат као Гуилдма) у нападима усмереним на бразилске кориснике.
ПИНЕАППЛЕ је компромитовао инстанце Гоогле Цлоуд-а и креирао сопствене Гоогле Цлоуд пројекте за генерисање УРЛ-ова контејнера на легитимним доменима Гоогле Цлоуд-а без сервера као што су цлоудфунцтионс.нет и рун.апп. Ови УРЛ-ови су хостовали одредишне странице које су преусмеравале мете на лажну инфраструктуру за испоруку Астаротх малвера.
Поред тога, ПИНЕАППЛЕ је покушао да избегне одбрану пролаза е-поште користећи услуге прослеђивања поште које дозвољавају пролазак порука са неуспелим записима Сендер Полици Фрамеворк (СПФ). Такође су манипулисали пољем СМТП Ретурн-Патх са неочекиваним подацима да би покренули временско ограничење ДНС захтева, што је довело до неуспешних провера аутентификације е-поште.
Криминалци користе легитимне услуге у штетне сврхе
Да би решио ове претње, Гоогле је предузео кораке да ублажи активности затварањем небезбедних Гоогле Цлоуд пројеката и ажурирањем листа Безбедног прегледања.
Повећан избор услуга у облаку у различитим индустријама је нажалост омогућио актерима претњи да искористе ове платформе у лоше намјере, укључујући недозвољено рударење криптовалута због слабих конфигурација и напада рансомваре-а.
Ова експлоатација је додатно олакшана чињеницом да услуге у облаку омогућавају противницима да споје своје активности са нормалним мрежним операцијама, што значајно отежава откривање.
Актери претњи користе флексибилност и једноставност примене платформи без сервера за дистрибуцију малвера и хостовање страница за крађу идентитета. Док браниоци спроводе мере откривања и ублажавања, противници непрестано прилагођавају своју тактику да избегну ову одбрану.
