FLUXROOT Tehdit Grubu
FLUXROOT olarak bilinen Latin Amerika (LATAM) merkezli finansal motivasyona sahip bir grubun, kimlik bilgilerine yönelik kimlik avı kampanyaları yürütmek üzere Google Cloud'un sunucusuz projelerini kullandığı tespit edildi. Bu durum, bulut bilişim modellerinin tehdit edici faaliyetler için nasıl istismar edilebileceğinin altını çiziyor. Geliştiriciler ve kuruluşlar esnekliği, maliyet etkinliği ve kullanıcı dostu olması nedeniyle sunucusuz mimarileri tercih ediyor. Ancak aynı avantajlar, sunucusuz bilgi işlem hizmetlerini siber suçlular için de cazip hale getiriyor. Kötü amaçlı yazılımları dağıtmak ve yönetmek, kimlik avı sitelerini barındırmak ve sunucusuz ortamlar için özel olarak tasarlanmış sahte komut dosyaları çalıştırmak için bu platformlardan yararlanırlar.
İçindekiler
FLUXROOT Bankacılık Truva Atlarıyla Kullanıcıları Hedefliyor
Kampanya, kimlik avı sayfalarını barındırmak için Google Cloud kapsayıcı URL'lerini kullandı ve LATAM bölgesinde yaygın olarak kullanılan bir çevrimiçi ödeme platformu olan Mercado Pago'ya yönelik giriş kimlik bilgilerini hedef aldı. Google'a göre FLUXROOT, daha önce Grandoreiro bankacılık Truva Atı'nı yaymasıyla bilinen bu kampanyanın arkasındaki tehdit aktörüdür. FLUXROOT'un son faaliyetleri, kötü amaçlı yazılımlarını dağıtmak için Microsoft Azure ve Dropbox gibi meşru bulut hizmetlerinden yararlanmayı da içeriyordu.
Siber Suçlular Kötü Amaçlı Yazılım Yaymak İçin Bulut Hizmetlerinden Yararlanıyor
Ayrı bir vakada, başka bir tehdit aktörü olan PINEAPPLE, Brezilyalı kullanıcılara yönelik saldırılarda Astaroth hırsız kötü amaçlı yazılımını (Guildma olarak da bilinir) dağıtmak için Google'ın bulut altyapısından yararlandı.
PINEAPPLE, Google Cloud örneklerinin güvenliğini ihlal etti ve cloudfunctions.net ve run.app gibi meşru Google Cloud sunucusuz alanlarında kapsayıcı URL'ler oluşturmak için kendi Google Cloud projelerini oluşturdu. Bu URL'ler, Astaroth kötü amaçlı yazılımını yaymak için hedefleri sahte altyapıya yönlendiren açılış sayfalarını barındırıyordu.
Ayrıca PINEAPPLE, başarısız Gönderici Politikası Çerçevesi (SPF) kayıtlarına sahip mesajların geçmesine izin veren posta yönlendirme hizmetlerini kullanarak e-posta ağ geçidi savunmalarından kaçmaya çalıştı. Ayrıca, DNS isteği zaman aşımlarını tetiklemek için SMTP Dönüş Yolu alanını beklenmeyen verilerle değiştirerek e-posta kimlik doğrulama kontrollerinin başarısız olmasına neden oldular.
Suçlular Meşru Hizmetlerden Zararlı Amaçlar İçin Yararlanıyor
Bu tehditleri gidermek için Google, güvenli olmayan Google Cloud projelerini kapatarak ve Güvenli Tarama listelerini güncelleyerek etkinlikleri hafifletmeye yönelik adımlar attı.
Çeşitli sektörlerde bulut hizmetleri seçeneklerinin artması, ne yazık ki tehdit aktörlerinin bu platformları, zayıf yapılandırmalar ve fidye yazılımı saldırıları nedeniyle yasa dışı kripto para birimi madenciliği de dahil olmak üzere kötü amaçlarla kullanmalarına olanak tanıdı.
Bu istismar, bulut hizmetlerinin, saldırganların faaliyetlerini normal ağ operasyonlarıyla birleştirmesine izin vererek tespit etmeyi önemli ölçüde zorlaştırması gerçeğiyle daha da kolaylaştırılmaktadır.
Tehdit aktörleri, kötü amaçlı yazılım dağıtmak ve kimlik avı sayfalarını barındırmak için sunucusuz platformların esnekliğinden ve dağıtım kolaylığından yararlanır. Savunmacılar tespit ve hafifletme önlemlerini uygularken, rakipler de bu savunmalardan kaçınmak için sürekli olarak taktiklerini uyarlıyorlar.
