กลุ่มภัยคุกคาม FLUXROOT
กลุ่มที่มีแรงจูงใจทางการเงินในละตินอเมริกา (LATAM) หรือที่เรียกว่า FLUXROOT ถูกตรวจพบโดยใช้โปรเจ็กต์แบบไร้เซิร์ฟเวอร์ของ Google Cloud เพื่อดำเนินการแคมเปญฟิชชิ่งข้อมูลรับรอง สถานการณ์นี้ตอกย้ำว่าโมเดลการประมวลผลแบบคลาวด์สามารถนำไปใช้ประโยชน์จากกิจกรรมที่เป็นอันตรายได้อย่างไร นักพัฒนาและองค์กรต่างๆ ชื่นชอบสถาปัตยกรรมแบบไร้เซิร์ฟเวอร์เนื่องจากมีความยืดหยุ่น ความคุ้มทุน และใช้งานง่าย อย่างไรก็ตาม ข้อดีเดียวกันนี้ยังทำให้บริการคอมพิวเตอร์แบบไร้เซิร์ฟเวอร์ดึงดูดอาชญากรไซเบอร์อีกด้วย พวกเขาใช้ประโยชน์จากแพลตฟอร์มเหล่านี้เพื่อกระจายและจัดการมัลแวร์ โฮสต์ไซต์ฟิชชิ่ง และเรียกใช้สคริปต์หลอกลวงที่ออกแบบมาโดยเฉพาะสำหรับสภาพแวดล้อมแบบไร้เซิร์ฟเวอร์
สารบัญ
FLUXROOT กำหนดเป้าหมายผู้ใช้ด้วยโทรจัน Banking
แคมเปญใช้ URL คอนเทนเนอร์ของ Google Cloud เพื่อโฮสต์หน้าฟิชชิ่งข้อมูลรับรอง โดยกำหนดเป้าหมายข้อมูลรับรองการเข้าสู่ระบบสำหรับ Mercado Pago ซึ่งเป็นแพลตฟอร์มการชำระเงินออนไลน์ที่ใช้กันอย่างแพร่หลายในภูมิภาค LATAM ตามที่ Google ระบุ FLUXROOT เป็นผู้คุกคามที่อยู่เบื้องหลังแคมเปญนี้ ซึ่งก่อนหน้านี้เป็นที่รู้จักในการแพร่กระจายโทรจันธนาคาร Grandoreiro กิจกรรมล่าสุดของ FLUXROOT ยังเกี่ยวข้องกับการใช้ประโยชน์จากบริการคลาวด์ที่ถูกต้องตามกฎหมาย เช่น Microsoft Azure และ Dropbox เพื่อเผยแพร่มัลแวร์
อาชญากรไซเบอร์ใช้ประโยชน์จากบริการคลาวด์เพื่อแพร่กระจายมัลแวร์
ในอีกกรณีหนึ่ง PINEAPPLE ซึ่งเป็นผู้คุกคามอีกรายหนึ่งได้ใช้ประโยชน์จากโครงสร้างพื้นฐานคลาวด์ของ Google เพื่อกระจายมัลแวร์ Astaroth ผู้ขโมย (หรือที่รู้จักในชื่อ Guildma) ในการโจมตีที่มุ่งเป้าไปที่ผู้ใช้ชาวบราซิล
PINEAPPLE บุกรุกอินสแตนซ์ของ Google Cloud และสร้างโปรเจ็กต์ Google Cloud ของตัวเองเพื่อสร้าง URL คอนเทนเนอร์บนโดเมนแบบไร้เซิร์ฟเวอร์ของ Google Cloud ที่ถูกต้อง เช่น cloudfunctions.net และ run.app URL เหล่านี้โฮสต์หน้า Landing Page ที่เปลี่ยนเส้นทางเป้าหมายไปยังโครงสร้างพื้นฐานที่ฉ้อโกงเพื่อส่งมัลแวร์ Astaroth
นอกจากนี้ PINEAPPLE ยังพยายามหลบเลี่ยงการป้องกันเกตเวย์อีเมลโดยใช้บริการส่งต่ออีเมลที่อนุญาตให้ข้อความที่มีบันทึก Sender Policy Framework (SPF) ที่ล้มเหลวสามารถส่งผ่านได้ พวกเขายังจัดการฟิลด์ SMTP Return-Path ด้วยข้อมูลที่ไม่คาดคิดเพื่อทริกเกอร์การหมดเวลาคำขอ DNS ส่งผลให้การตรวจสอบการรับรองความถูกต้องของอีเมลล้มเหลว
อาชญากรใช้ประโยชน์จากบริการที่ถูกต้องตามกฎหมายเพื่อวัตถุประสงค์ที่เป็นอันตราย
เพื่อจัดการกับภัยคุกคามเหล่านี้ Google ได้ดำเนินการตามขั้นตอนเพื่อบรรเทากิจกรรมโดยการปิดโครงการ Google Cloud ที่ไม่ปลอดภัยและอัปเดตรายการ Safe Browsing
ทางเลือกที่เพิ่มขึ้นของบริการคลาวด์ในอุตสาหกรรมต่างๆ ทำให้ผู้คุกคามสามารถใช้ประโยชน์จากแพลตฟอร์มเหล่านี้เพื่อวัตถุประสงค์ที่ไม่รอบคอบ รวมถึงการขุดสกุลเงินดิจิตอลที่ผิดกฎหมายเนื่องจากการกำหนดค่าที่อ่อนแอและการโจมตีของแรนซัมแวร์
การแสวงหาประโยชน์นี้ได้รับการอำนวยความสะดวกเพิ่มเติมด้วยความจริงที่ว่าบริการคลาวด์อนุญาตให้ผู้ไม่หวังดีผสมผสานกิจกรรมของตนเข้ากับการทำงานของเครือข่ายปกติ ซึ่งทำให้การตรวจจับยากขึ้นอย่างมาก
ผู้คุกคามใช้ประโยชน์จากความยืดหยุ่นและความง่ายในการใช้งานของแพลตฟอร์มแบบไร้เซิร์ฟเวอร์เพื่อกระจายมัลแวร์และโฮสต์หน้าฟิชชิ่ง ในขณะที่ฝ่ายป้องกันใช้มาตรการตรวจจับและบรรเทาผลกระทบ ฝ่ายตรงข้ามก็ปรับกลยุทธ์อย่างต่อเนื่องเพื่อหลบเลี่ยงการป้องกันเหล่านี้
