Група загроз FLUXROOT
Фінансово мотивована група, що базується в Латинській Америці (LATAM), відома як FLUXROOT, була виявлена за допомогою безсерверних проектів Google Cloud для проведення фішингових кампаній облікових даних. Ця ситуація підкреслює, як моделі хмарних обчислень можуть бути використані для загрозливої діяльності. Розробники та підприємства віддають перевагу безсерверним архітектурам через їхню гнучкість, економічну ефективність і зручність для користувача. Однак ці ж переваги роблять безсерверні обчислювальні послуги привабливими для кіберзлочинців. Вони використовують ці платформи для розповсюдження та керування зловмисним програмним забезпеченням, розміщення фішингових сайтів і запуску шахрайських сценаріїв, спеціально розроблених для безсерверних середовищ.
Зміст
FLUXROOT націлений на користувачів банківськими троянами
Кампанія використовувала URL-адреси контейнерів Google Cloud для розміщення фішингових сторінок облікових даних, націлених на облікові дані для входу в Mercado Pago, широко використовувану платіжну онлайн-платформу в регіоні LATAM. За даними Google, FLUXROOT є загрозою, що стоїть за цією кампанією, раніше відомою розповсюдженням банківського трояна Grandoreiro . Останні дії FLUXROOT також включали використання легітимних хмарних служб, таких як Microsoft Azure і Dropbox, для розповсюдження шкідливих програм.
Кіберзлочинці використовують хмарні служби для поширення зловмисного програмного забезпечення
В іншому випадку PINEAPPLE, ще один загрозливий суб’єкт, використовував хмарну інфраструктуру Google для розповсюдження зловмисного програмного забезпечення Astaroth (також відомого як Guildma) під час атак, націлених на бразильських користувачів.
PINEAPPLE скомпрометував екземпляри Google Cloud і створив власні проекти Google Cloud для генерації URL-адрес контейнерів у законних безсерверних доменах Google Cloud, таких як cloudfunctions.net і run.app. Ці URL-адреси містили цільові сторінки, які перенаправляли цілі на шахрайську інфраструктуру для доставки зловмисного програмного забезпечення Astaroth.
Крім того, PINEAPPLE намагався уникнути захисту шлюзу електронної пошти, використовуючи служби пересилання пошти, які дозволяють пропускати повідомлення з помилковими записами Sender Policy Framework (SPF). Вони також маніпулювали полем SMTP Return-Path з неочікуваними даними, щоб ініціювати тайм-аути запитів DNS, що спричиняло збій перевірки автентифікації електронної пошти.
Злочинці користуються законними послугами для шкідливих цілей
Щоб усунути ці загрози, Google вжив заходів для пом’якшення діяльності, закривши небезпечні проекти Google Cloud і оновивши списки безпечного перегляду.
Збільшення вибору хмарних сервісів у різних галузях, на жаль, дозволило зловмисникам використовувати ці платформи для недоброзичливих цілей, зокрема для незаконного майнінгу криптовалюти через слабкі конфігурації та атаки програм-вимагачів.
Цю експлуатацію додатково полегшує той факт, що хмарні служби дозволяють зловмисникам поєднувати свою діяльність із звичайними мережевими операціями, що значно ускладнює виявлення.
Зловмисники використовують гнучкість і легкість розгортання безсерверних платформ для розповсюдження зловмисного програмного забезпечення та розміщення фішингових сторінок. Коли захисники вживають заходів з виявлення та пом’якшення, супротивники постійно адаптують свою тактику, щоб уникнути цього захисту.
