Latin Amerika (LATAM) merkezli finansal olarak motive olmuş bir aktör kod adı AKICI KÖK Google Cloud sunucusuz projelerini kimlik bilgisi dolandırıcılığı faaliyetlerini düzenlemek için kullandığı gözlemlendi ve bu durum bulut bilişim modelinin kötü amaçlı olarak kötüye kullanılabileceğini ortaya koydu.
Google, iki yılda bir yayınlanan raporunda, “Sunucusuz mimariler, esneklikleri, maliyet etkinlikleri ve kullanım kolaylıkları nedeniyle geliştiriciler ve işletmeler için çekici” dedi. Tehdit Ufukları Raporu [PDF] The Hacker News ile paylaşıldı.
“Aynı özellikler, sunucusuz bilgi işlem hizmetlerini tüm bulut sağlayıcıları için tehdit aktörleri için cazip hale getiriyor. Bu aktörler, bu hizmetleri kötü amaçlı yazılımlarını iletmek ve bunlarla iletişim kurmak, kullanıcıları kimlik avı sayfalarına yönlendirmek ve kötü amaçlı yazılımları çalıştırmak ve sunucusuz bir ortamda çalışmak üzere özel olarak tasarlanmış kötü amaçlı komut dosyalarını yürütmek için kullanıyorlar.”
Kampanya, LATAM bölgesinde popüler bir çevrimiçi ödeme platformu olan Mercado Pago ile ilişkili oturum açma bilgilerini toplamak amacıyla kimlik bilgisi kimlik avı sayfalarını barındırmak için Google Cloud kapsayıcı URL’lerinin kullanılmasını içeriyordu.
Google’a göre FLUXROOT, Grandoreiro bankacılık trojanını dağıtmasıyla bilinen tehdit aktörü; son saldırılarda kötü amaçlı yazılımı dağıtmak için Microsoft Azure ve Dropbox gibi meşru bulut hizmetlerinden de yararlanılıyor.
Ayrıca, Google’ın bulut altyapısı, Brezilyalı kullanıcıları hedef alan saldırıların bir parçası olarak Astaroth (diğer adıyla Guildma) olarak bilinen başka bir hırsız kötü amaçlı yazılımı yaymak için PINEAPPLE adlı başka bir saldırgan tarafından silah olarak kullanıldı.
“PINEAPPLE, cloudfunctions gibi meşru Google Cloud sunucusuz etki alanlarında kapsayıcı URL’leri oluşturmak için tehlikeye atılmış Google Cloud örneklerini ve kendi oluşturdukları Google Cloud projelerini kullandı[.]net ve run.app,” diye belirtti Google. “URL’ler, hedefleri Astaroth’u düşüren kötü amaçlı altyapıya yönlendiren açılış sayfalarını barındırıyordu.”
Ayrıca, tehdit aktörünün, başarısız Gönderen Politika Çerçevesi (SPF) kayıtları veya beklenmeyen verileri dahil etme SMTP Dönüş Yolu alanı DNS isteği zaman aşımını tetiklemek ve e-posta kimlik doğrulama kontrollerinin başarısız olmasına neden olmak için.
Arama devi, kötü amaçlı Google Cloud projelerini devre dışı bırakarak ve kendi arama motorlarını güncelleyerek faaliyetleri hafifletmek için adımlar attığını söyledi. Güvenli Tarama listeleri.
Tehdit aktörleri tarafından bulut hizmetlerinin ve altyapısının silahlandırılması – yasadışı kripto para madenciliğinden başlayarak sonuçlar ile ilgili zayıf yapılandırmalar fidye yazılımına – olmuştur yakıtlı bulutun sektörler genelinde daha fazla benimsenmesiyle.
Ayrıca bu yaklaşımın, saldırganların normal ağ aktivitelerine karışmasına olanak tanıması gibi ek bir avantajı da var; bu da tespiti çok daha zor hale getiriyor.
Şirket, “Tehdit aktörleri, kötü amaçlı yazılımları dağıtmak ve kimlik avı sayfalarını barındırmak için sunucusuz platformların esnekliğinden ve dağıtım kolaylığından yararlanıyor” dedi. “Bulut hizmetlerini kötüye kullanan tehdit aktörleri, savunmacıların tespit ve azaltma önlemlerine yanıt olarak taktiklerini değiştiriyor.”