FLUXROOT 威胁组织

一个位于拉丁美洲 (LATAM) 的以经济为目的的组织 FLUXROOT 被发现使用 Google Cloud 的无服务器项目进行凭证网络钓鱼活动。这种情况凸显了云计算模型如何被用于威胁活动。开发人员和企业青睐无服务器架构，因为它们灵活、经济高效、用户友好。然而，这些相同的优势也使无服务器计算服务对网络犯罪分子具有吸引力。他们利用这些平台分发和管理恶意软件、托管网络钓鱼网站并运行专门为无服务器环境设计的欺诈脚本。

FLUXROOT 利用银行木马攻击用户

该活动利用 Google Cloud 容器 URL 托管凭证钓鱼页面，目标是 Mercado Pago（拉丁美洲地区广泛使用的在线支付平台）的登录凭证。据 Google 称，FLUXROOT 是此次活动的幕后威胁者，之前因传播Grandoreiro银行木马而闻名。FLUXROOT 最近的活动还涉及利用 Microsoft Azure 和 Dropbox 等合法云服务来分发其恶意软件。

网络犯罪分子利用云服务传播恶意软件

在另一起案件中，另一个威胁行为者 PINEAPPLE 利用谷歌的云基础设施，在针对巴西用户的攻击中传播Astaroth窃取恶意软件（也称为 Guildma）。

PINEAPPLE 入侵了 Google Cloud 实例并创建了自己的 Google Cloud 项目，以在合法的 Google Cloud 无服务器域（如 cloudfunctions.net 和 run.app）上生成容器 URL。这些 URL 托管着陆页，将目标重定向到欺诈性基础设施以传播 Astaroth 恶意软件。

此外，PINEAPPLE 还试图通过使用邮件转发服务来绕过电子邮件网关防御，这些服务允许发件人策略框架 (SPF) 记录失败的邮件通过。他们还利用意外数据操纵 SMTP Return-Path 字段来触发 DNS 请求超时，导致电子邮件身份验证检查失败。

犯罪分子利用合法服务进行恶意目的

为了应对这些威胁，谷歌已采取措施，通过关闭不安全的谷歌云项目和更新安全浏览列表来缓解这些活动。

不幸的是，各个行业对云服务的选择越来越多，这使得威胁行为者能够利用这些平台进行恶意目的，包括由于配置薄弱而进行的非法加密货币挖掘和勒索软件攻击。

由于云服务允许攻击者将其活动与正常的网络操作相结合，使得检测变得更加困难，因此这种攻击变得更加容易。

威胁行为者利用无服务器平台的灵活性和易部署性来分发恶意软件和托管钓鱼页面。当防御者实施检测和缓解措施时，攻击者不断调整策略以逃避这些防御。