FLUXROOT Threat Group
Natukoy ang isang financially motivated na grupo na nakabase sa Latin America (LATAM), na kilala bilang FLUXROOT, gamit ang mga proyektong walang server ng Google Cloud upang magsagawa ng mga kredensyal na kampanya sa phishing. Binibigyang-diin ng sitwasyong ito kung paano maaaring samantalahin ang mga modelo ng cloud computing para sa mga aktibidad na nagbabanta. Pinapaboran ng mga developer at negosyo ang mga walang server na arkitektura dahil sa kanilang flexibility, cost-effectiveness, at user-friendly. Gayunpaman, ang parehong mga kalamangan na ito ay gumagawa din ng mga serverless computing na serbisyo na nakakaakit sa mga cybercriminal. Ginagamit nila ang mga platform na ito upang ipamahagi at pamahalaan ang malware, mag-host ng mga site ng phishing at magpatakbo ng mga mapanlinlang na script na partikular na idinisenyo para sa mga walang server na kapaligiran.
Talaan ng mga Nilalaman
Tina-target ng FLUXROOT ang mga User na may Banking Trojans
Ginamit ng campaign ang mga URL ng container ng Google Cloud upang mag-host ng mga kredensyal na pahina ng phishing, na nagta-target ng mga kredensyal sa pag-log in para sa Mercado Pago, isang malawakang ginagamit na online na platform ng pagbabayad sa rehiyon ng LATAM. Ayon sa Google, ang FLUXROOT ay ang banta ng aktor sa likod ng kampanyang ito, na dating kilala sa pagkalat ng Grandoreiro banking Trojan. Ang mga kamakailang aktibidad ng FLUXROOT ay nagsasangkot din ng pagsasamantala sa mga lehitimong serbisyo sa cloud tulad ng Microsoft Azure at Dropbox upang ipamahagi ang kanilang malware.
Pinagsasamantalahan ng mga Cybercriminal ang Mga Serbisyo sa Cloud upang Ikalat ang Malware
Sa isang hiwalay na kaso, sinamantala ng PINEAPPLE, isa pang banta na aktor, ang cloud infrastructure ng Google upang ipamahagi ang Astaroth stealer malware (kilala rin bilang Guildma) sa mga pag-atake na naglalayong sa mga user ng Brazil.
Nakompromiso ng PINEAPPLE ang mga instance ng Google Cloud at gumawa ng sarili nitong mga proyekto sa Google Cloud upang bumuo ng mga URL ng container sa mga lehitimong domain ng Google Cloud na walang server tulad ng cloudfunctions.net at run.app. Ang mga URL na ito ay nagho-host ng mga landing page na nag-redirect ng mga target sa mapanlinlang na imprastraktura para sa paghahatid ng Astaroth malware.
Bukod pa rito, sinubukan ng PINEAPPLE na iwasan ang mga depensa ng gateway ng email sa pamamagitan ng paggamit ng mga serbisyo sa pagpapasa ng mail na nagbibigay-daan sa mga mensaheng may mga nabigong Sender Policy Framework (SPF) na talaan na dumaan. Minamanipula din nila ang field ng SMTP Return-Path na may hindi inaasahang data upang ma-trigger ang mga timeout ng kahilingan sa DNS, na nagdulot ng pagkabigo sa mga pagsusuri sa pagpapatotoo sa email.
Sinasamantala ng mga Kriminal ang Mga Lehitimong Serbisyo para sa Masasamang Layunin
Upang matugunan ang mga banta na ito, gumawa ang Google ng mga hakbang upang pagaanin ang mga aktibidad sa pamamagitan ng pagsasara sa mga hindi ligtas na proyekto sa Google Cloud at pag-update ng mga listahan ng Ligtas na Pagba-browse.
Ang mas mataas na pagpili ng mga serbisyo sa cloud sa iba't ibang industriya ay sa kasamaang-palad ay nagbigay-daan sa mga threat actor na samantalahin ang mga platform na ito para sa mga layuning walang pag-iisip, kabilang ang ipinagbabawal na pagmimina ng cryptocurrency dahil sa mahinang mga configuration at pag-atake ng ransomware.
Ang pagsasamantalang ito ay higit na pinadali ng katotohanan na ang mga serbisyo ng cloud ay nagpapahintulot sa mga kalaban na ihalo ang kanilang mga aktibidad sa mga normal na operasyon ng network, na ginagawang mas mahirap ang pagtuklas.
Ginagamit ng mga banta ng aktor ang flexibility at kadalian ng pag-deploy ng mga walang server na platform upang maipamahagi ang malware at mag-host ng mga pahina ng phishing. Habang nagpapatupad ang mga tagapagtanggol ng mga hakbang sa pagtuklas at pagpapagaan, patuloy na inaangkop ng mga kalaban ang kanilang mga taktika upang maiwasan ang mga depensang ito.
