Finansijski motivirani haker kodnog imena FLUXROOT sa sjedištem u Latinskoj Americi (LATAM) je primijećen kako koristi Google Cloud projekte bez servera za orkestriranje aktivnosti krađe identiteta, ističući zloupotrebu modela računarstva u cloud u zlonamjerne svrhe.
„Arhitekture bez servera su atraktivne za programere i preduzeća zbog svoje fleksibilnosti, isplativosti i jednostavnosti korišćenja“, navodi Google u svom dvogodišnjem Threat Horizons Report-u [PDF] koji je podeljen sa The Hacker News-om.
„Ove iste karakteristike čine računarske usluge bez servera za sve provajdere u cloud privlačnim za hakere, koji ih koriste za isporuku i komunikaciju sa svojim zlonamjernim softverom, hosting i usmjeravanje korisnika na stranice za krađu identiteta, te za pokretanje zlonamjernog softvera i izvršavanje zlonamjernih skripti posebno prilagođenih za pokretanje u okruženje bez servera“.
Kampanja je uključivala upotrebu URL-ova Google Cloud kontejnera za hostovanje stranica za krađu identiteta s ciljem prikupljanja podataka za prijavu povezanih s Mercado Pago, platformom za online plaćanje popularnom u LATAM regiji.
FLUXROOT je, prema Google-u, akter prijetnje poznat po distribuciji bankarskog trojanca Grandoreiro, a nedavne kampanje takođe koriste legitimne usluge u cloud kao što su Microsoft Azure i Dropbox za distribuciju malvera.
Odvojeno, Google-ovu infrastrukturu cloud je takođe naoružao drugi protivnik po imenu PINEAPPLE kako bi propagirao još jedan zlonamjerni softver za krađu poznat kao Astaroth (aka Guildma) kao dio napada usmjerenih na brazilske korisnike.
“PINEAPPLE je koristio kompromitovane Google Cloud instance i Google Cloud projekte koje su sami kreirali da kreiraju URL-ove kontejnera na legitimnim domenima Google Cloud bez servera, kao što su cloudfunctions[.]net i run.app,” napominje Google. “URL-ovi su ugostili odredišne stranice koje su preusmjeravale ciljeve na zlonamjernu infrastrukturu koja je odbacila Astaroth.”
Zatim, kaže se da je haker pokušao zaobići zaštitu pristupnika e-pošte korištenjem usluga prosljeđivanja pošte koje ne ispuštaju poruke s neuspjelim zapisima Sender Policy Framework (SPF) ili uključivanjem neočekivanih podataka u polje SMTP povratne putanje kako bi da pokrene vremensko ograničenje DNS zahtjeva i prouzrokuje neuspjeh provjera autentifikacije e-pošte.
Gigant za pretraživanje rekao je da je poduzeo korake za ublažavanje aktivnosti uklanjanjem zlonamjernih Google Cloud projekata i ažuriranjem svojih lista Sigurnog pregledanja.
Oružavanje usluga u oblaku i infrastrukture od strane aktera prijetnji – u rasponu od ilegalnog rudarenja kriptovaluta kao posljedica slabih konfiguracija do ransomwarea – potaknuto je pojačanim usvajanjem oblaka u svim industrijama.
Nadalje, pristup ima dodatnu prednost jer dozvoljava protivnicima da se uklope u normalne mrežne aktivnosti, čineći otkrivanje mnogo izazovnijim.
“Učesnici prijetnji iskorištavaju prednost fleksibilnosti i lakoće implementacije platformi bez servera za distribuciju zlonamjernog softvera i hosting stranica za krađu identiteta”, navodi kompanija. “Hakeri koji zloupotrebljavaju usluge u cloud mijenjaju svoju taktiku kao odgovor na mjere za otkrivanje i ublažavanje od strane branilaca.”
Izvor:The Hacker News
