Nhóm mối đe dọa FLUXROOT

Một nhóm có động cơ tài chính có trụ sở tại Châu Mỹ Latinh (LATAM), được gọi là FLUXROOT, đã bị phát hiện bằng cách sử dụng các dự án không có máy chủ của Google Cloud để thực hiện các chiến dịch lừa đảo thông tin xác thực. Tình huống này nhấn mạnh cách các mô hình điện toán đám mây có thể bị khai thác cho các hoạt động đe dọa. Các nhà phát triển và doanh nghiệp ưa chuộng kiến trúc không có máy chủ do tính linh hoạt, hiệu quả về chi phí và thân thiện với người dùng. Tuy nhiên, những lợi thế tương tự này cũng khiến các dịch vụ điện toán không có máy chủ trở nên hấp dẫn đối với tội phạm mạng. Họ tận dụng các nền tảng này để phân phối và quản lý phần mềm độc hại, lưu trữ các trang web lừa đảo và chạy các tập lệnh lừa đảo được thiết kế đặc biệt cho môi trường không có máy chủ.

FLUXROOT nhắm mục tiêu người dùng bằng trojan ngân hàng

Chiến dịch đã sử dụng URL vùng chứa Google Cloud để lưu trữ các trang lừa đảo thông tin xác thực, nhắm mục tiêu thông tin xác thực đăng nhập cho Mercado Pago, một nền tảng thanh toán trực tuyến được sử dụng rộng rãi ở khu vực LATAM. Theo Google, FLUXROOT là tác nhân đe dọa đằng sau chiến dịch này, trước đây được biết đến với việc phát tán Trojan ngân hàng Grandoreiro . Các hoạt động gần đây của FLUXROOT cũng liên quan đến việc khai thác các dịch vụ đám mây hợp pháp như Microsoft Azure và Dropbox để phát tán phần mềm độc hại của họ.

Tội phạm mạng khai thác dịch vụ đám mây để phát tán phần mềm độc hại

Trong một trường hợp riêng biệt, PINEAPPLE, một tác nhân đe dọa khác, đã khai thác cơ sở hạ tầng đám mây của Google để phát tán phần mềm độc hại đánh cắp Astaroth (còn được gọi là Guildma) trong các cuộc tấn công nhắm vào người dùng Brazil.

PINEAPPLE đã xâm phạm các phiên bản Google Cloud và tạo các dự án Google Cloud của riêng mình để tạo URL vùng chứa trên các miền không có máy chủ hợp pháp của Google Cloud như cloudfunctions.net và run.app. Các URL này lưu trữ các trang đích đã chuyển hướng mục tiêu đến cơ sở hạ tầng lừa đảo nhằm phát tán phần mềm độc hại Astaroth.

Ngoài ra, PINEAPPLE đã cố gắng né tránh các biện pháp bảo vệ cổng email bằng cách sử dụng các dịch vụ chuyển tiếp thư cho phép các thư có bản ghi Khung chính sách người gửi (SPF) không thành công đi qua. Họ cũng thao túng trường Đường dẫn trả về SMTP với dữ liệu không mong muốn để kích hoạt thời gian chờ yêu cầu DNS, khiến việc kiểm tra xác thực email không thành công.

Tội phạm lợi dụng các dịch vụ hợp pháp cho mục đích có hại

Để giải quyết những mối đe dọa này, Google đã thực hiện các bước nhằm giảm thiểu các hoạt động bằng cách tắt các dự án Google Cloud không an toàn và cập nhật danh sách Duyệt web an toàn.

Thật không may, sự lựa chọn ngày càng tăng của các dịch vụ đám mây trong các ngành khác nhau đã tạo điều kiện cho các tác nhân đe dọa khai thác các nền tảng này cho các mục đích xấu, bao gồm khai thác tiền điện tử bất hợp pháp do cấu hình yếu và các cuộc tấn công bằng ransomware.

Việc khai thác này còn được tạo điều kiện thuận lợi hơn nữa bởi thực tế là các dịch vụ đám mây cho phép kẻ thù trộn lẫn các hoạt động của chúng với các hoạt động mạng thông thường, khiến việc phát hiện trở nên khó khăn hơn đáng kể.

Các tác nhân đe dọa tận dụng tính linh hoạt và dễ triển khai của nền tảng không có máy chủ để phát tán phần mềm độc hại và lưu trữ các trang lừa đảo. Khi lực lượng phòng thủ thực hiện các biện pháp phát hiện và giảm thiểu, đối thủ sẽ liên tục điều chỉnh chiến thuật của mình để né tránh các biện pháp phòng thủ này.