据观察,一个代号为 FLUXROOT 的拉丁美洲 (LATAM) 出于经济动机的行为者利用 Google Cloud 无服务器项目来编排凭据网络钓鱼活动,凸显了将云计算模型滥用于恶意目的。
“无服务器架构因其灵活性、成本效益和易用性而对开发人员和企业具有吸引力,”谷歌在与 The Hacker News 分享的半年度威胁视野报告 [PDF] 中表示。
“这些相同的功能使所有云提供商的无服务器计算服务对威胁行为者具有吸引力,他们使用它们来交付和通信他们的恶意软件,托管和引导用户到网络钓鱼页面,以及运行恶意软件和执行专门为在无服务器环境中运行而定制的恶意脚本。
该活动涉及使用 Google Cloud 容器 URL 托管凭据网络钓鱼页面,目的是收集与 Mercado Pago 相关的登录信息,Mercado Pago 是一个在拉丁美洲地区流行的在线支付平台。
根据谷歌的说法,FLUXROOT是以分发Grandoreiro银行木马而闻名的威胁行为者,最近的活动还利用Microsoft Azure和Dropbox等合法云服务来分发恶意软件。
另外,谷歌的云基础设施也被另一个名为PINEAPPLE的对手武器化,以传播另一种名为Astaroth(又名Guildma)的窃取恶意软件,作为针对巴西用户的攻击的一部分。
“PINEAPPLE 使用他们自己创建的受感染的 Google Cloud 实例和 Google Cloud 项目在合法的 Google Cloud 无服务器域(如 cloudfunctions)上创建容器 URL。净和 run.app,“谷歌指出。“这些 URL 托管了登陆页面,将目标重定向到放弃 Astaroth 的恶意基础设施。”
此外,据说威胁行为者试图通过利用邮件转发服务来绕过邮件网关保护,这些服务不会丢弃具有失败发件人策略框架 (SPF) 记录的邮件,或在 SMTP 返回路径字段中合并意外数据,以触发 DNS 请求超时并导致电子邮件身份验证检查失败。
这家搜索巨头表示,它已采取措施通过关闭恶意谷歌云项目并更新其安全浏览列表来缓解这些活动。
威胁行为者将云服务和基础设施武器化——从由于配置薄弱导致的非法加密货币挖矿到勒索软件——都受到各行各业对云的采用的推动。
此外,该方法还有一个额外的好处,即允许攻击者混入正常的网络活动,使检测更具挑战性。
该公司表示:“威胁行为者利用无服务器平台部署的灵活性和易用性来分发恶意软件和托管网络钓鱼页面。“滥用云服务的威胁行为者会根据防御者的检测和缓解措施改变策略。”
发表评论
您还未登录,请先登录。
登录