FLUXROOT 威脅組織

拉丁美洲 (LATAM) 的一個名為 FLUXROOT 的出於經濟動機的組織已被發現使用 Google Cloud 的無伺服器專案進行憑證網路釣魚活動。這種情況凸顯了雲端運算模型如何被利用來進行威脅活動。無伺服器架構因其靈活性、成本效益和用戶友好性而受到開發人員和企業的青睞。然而，這些相同的優勢也使得無伺服器運算服務對網路犯罪分子有吸引力。他們利用這些平台來分發和管理惡意軟體、託管網路釣魚網站並運行專為無伺服器環境設計的詐騙腳本。

FLUXROOT 利用銀行木馬瞄準用戶

該活動利用 Google Cloud 容器 URL 來託管憑證釣魚頁面，目標是 Mercado Pago（拉美地區廣泛使用的線上支付平台）的登入憑證。據 Google 稱，FLUXROOT 是此次活動背後的威脅發起者，之前因傳播Grandoreiro銀行木馬而聞名。 FLUXROOT 近期的活動也涉及利用 Microsoft Azure 和 Dropbox 等合法雲端服務來傳播其惡意軟體。

網路犯罪者利用雲端服務傳播惡意軟體

在另一個案例中，另一個威脅參與者 PINEAPPLE 利用 Google 的雲端基礎設施在針對巴西用戶的攻擊中分發Astaroth竊取惡意軟體（也稱為 Guildma）。

PINEAPPLE 入侵了 Google Cloud 實例，並建立了自己的 Google Cloud 項目，以在合法的 Google Cloud 無伺服器網域（例如 cloudfunctions.net 和 run.app）上產生容器 URL。這些 URL 託管登陸頁面，將目標重新導向到詐騙基礎設施，以傳播 Astaroth 惡意軟體。

此外，PINEAPPLE 也嘗試使用郵件轉送服務來逃避電子郵件閘道防禦，該服務允許具有失敗的寄件者策略框架 (SPF) 記錄的郵件通過。他們還使用意外資料操縱 SMTP 返迴路徑字段，以觸發 DNS 請求逾時，導致電子郵件身份驗證檢查失敗。

犯罪者利用合法服務達到有害目的

為了應對這些威脅，Google 已採取措施透過關閉不安全的 Google Cloud 專案並更新安全瀏覽清單來緩解這些活動。

不幸的是，各行業雲端服務選擇的增加使得威脅行為者能夠利用這些平台達到惡意目的，包括由於配置薄弱和勒索軟體攻擊而進行非法加密貨幣挖礦。

雲端服務允許攻擊者將其活動與正常網路操作混合在一起，從而使檢測變得更加困難，這一事實進一步促進了這種利用。

威脅行為者利用無伺服器平台的靈活性和易於部署的特性來分發惡意軟體並託管網路釣魚頁面。當防禦者實施偵測和緩解措施時，對手不斷調整策略來逃避這些防禦。