FLUXROOT Hotgrupp
En ekonomiskt motiverad grupp baserad i Latinamerika (LATAM), känd som FLUXROOT, har upptäckts som använder Google Clouds serverlösa projekt för att genomföra nätfiskekampanjer. Denna situation understryker hur molnmodeller kan utnyttjas för hotfulla aktiviteter. Utvecklare och företag föredrar serverlösa arkitekturer på grund av deras flexibilitet, kostnadseffektivitet och användarvänlighet. Men samma fördelar gör också de serverlösa datortjänsterna tilltalande för cyberbrottslingar. De utnyttjar dessa plattformar för att distribuera och hantera skadlig programvara, vara värd för nätfiskewebbplatser och köra bedrägliga skript speciellt utformade för serverlösa miljöer.
Innehållsförteckning
FLUXROOT riktar sig till användare med banktrojaner
Kampanjen använde Google Cloud-behållaradresser för att vara värd för nätfiskesidor, inriktade på inloggningsuppgifter för Mercado Pago, en allmänt använd onlinebetalningsplattform i LATAM-regionen. Enligt Google är FLUXROOT hotaktören bakom denna kampanj, tidigare känd för att sprida Grandoreiro- banktrojanen. De senaste aktiviteterna av FLUXROOT har också involverat att utnyttja legitima molntjänster som Microsoft Azure och Dropbox för att distribuera deras skadliga program.
Cyberbrottslingar utnyttjar molntjänster för att sprida skadlig programvara
I ett separat fall har PINEAPPLE, en annan hotaktör, utnyttjat Googles molninfrastruktur för att distribuera Astaroth- stöldprogramvaran (även känd som Guildma) i attacker riktade mot brasilianska användare.
PINEAPPLE komprometterade Google Cloud-instanser och skapade sina egna Google Cloud-projekt för att generera container-URL:er på legitima Google Cloud-serverlösa domäner som cloudfunctions.net och run.app. Dessa webbadresser var värd för målsidor som omdirigerade mål till bedräglig infrastruktur för att leverera Astaroth skadlig programvara.
Dessutom försökte PINEAPPLE undvika försvar av e-postgateway genom att använda tjänster för vidarebefordran av e-post som tillåter meddelanden med misslyckade Sender Policy Framework-poster (SPF) att passera. De manipulerade också SMTP Return-Path-fältet med oväntade data för att utlösa timeouts för DNS-begäran, vilket gjorde att e-postautentiseringskontroller misslyckades.
Brottslingar drar fördel av legitima tjänster för skadliga ändamål
För att hantera dessa hot har Google vidtagit åtgärder för att mildra aktiviteterna genom att stänga av osäkra Google Cloud-projekt och uppdatera Safe Browsing-listor.
Det ökade utbudet av molntjänster inom olika branscher har tyvärr gjort det möjligt för hotaktörer att utnyttja dessa plattformar för ogenomtänkta syften, inklusive olaglig brytning av kryptovaluta på grund av svaga konfigurationer och ransomware-attacker.
Denna exploatering underlättas ytterligare av det faktum att molntjänster tillåter motståndare att blanda sina aktiviteter med normal nätverksdrift, vilket gör upptäckten betydligt svårare.
Hotaktörer utnyttjar serverlösa plattformars flexibilitet och enkla distribution för att distribuera skadlig programvara och värdnätfiskesidor. När försvarare implementerar upptäckts- och begränsningsåtgärder anpassar motståndarna kontinuerligt sin taktik för att undvika dessa försvar.
