FLUXROOT-Bedrohungsgruppe
Eine finanziell motivierte Gruppe mit Sitz in Lateinamerika (LATAM), bekannt als FLUXROOT, wurde dabei ertappt, wie sie Serverless-Projekte von Google Cloud nutzte, um Phishing-Kampagnen für Anmeldeinformationen durchzuführen. Diese Situation unterstreicht, wie Cloud-Computing-Modelle für bedrohliche Aktivitäten missbraucht werden können. Entwickler und Unternehmen bevorzugen Serverless-Architekturen aufgrund ihrer Flexibilität, Kosteneffizienz und Benutzerfreundlichkeit. Diese gleichen Vorteile machen die Serverless-Computing-Dienste jedoch auch für Cyberkriminelle attraktiv. Sie nutzen diese Plattformen, um Malware zu verteilen und zu verwalten, Phishing-Sites zu hosten und betrügerische Skripte auszuführen, die speziell für Serverless-Umgebungen entwickelt wurden.
Inhaltsverzeichnis
FLUXROOT zielt mit Banking-Trojanern auf Benutzer ab
Die Kampagne nutzte URLs von Google Cloud-Containern, um Seiten zum Phishing von Anmeldeinformationen zu hosten. Dabei zielten sie auf Anmeldeinformationen für Mercado Pago ab, eine weit verbreitete Online-Zahlungsplattform in der Region Lateinamerika. Laut Google ist FLUXROOT der Bedrohungsakteur hinter dieser Kampagne, der zuvor für die Verbreitung des Banking-Trojaners Grandoreiro bekannt war. Zu den jüngsten Aktivitäten von FLUXROOT gehörte auch die Nutzung legitimer Cloud-Dienste wie Microsoft Azure und Dropbox, um ihre Malware zu verbreiten.
Cyberkriminelle nutzen Cloud-Dienste zur Verbreitung von Malware
In einem anderen Fall hat PINEAPPLE, ein weiterer Bedrohungsakteur, die Cloud-Infrastruktur von Google ausgenutzt, um bei Angriffen auf brasilianische Benutzer die Astaroth- Stealer-Malware (auch bekannt als Guildma) zu verbreiten.
PINEAPPLE kompromittierte Google Cloud-Instanzen und erstellte eigene Google Cloud-Projekte, um Container-URLs auf legitimen serverlosen Google Cloud-Domänen wie cloudfunctions.net und run.app zu generieren. Diese URLs hosteten Zielseiten, die Ziele auf betrügerische Infrastrukturen umleiteten, um die Astaroth-Malware zu verbreiten.
Darüber hinaus versuchte PINEAPPLE, die Abwehrmechanismen von E-Mail-Gateways zu umgehen, indem es E-Mail-Weiterleitungsdienste verwendete, die Nachrichten mit fehlerhaften Sender Policy Framework (SPF)-Einträgen passieren ließen. Außerdem manipulierten sie das SMTP-Return-Path-Feld mit unerwarteten Daten, um DNS-Anforderungstimeouts auszulösen, wodurch E-Mail-Authentifizierungsprüfungen fehlschlugen.
Kriminelle nutzen legitime Dienste für schädliche Zwecke aus
Um diesen Bedrohungen zu begegnen, hat Google Schritte zur Eindämmung der Aktivitäten unternommen, indem unsichere Google Cloud-Projekte geschlossen und Safe Browsing-Listen aktualisiert wurden.
Die zunehmende Auswahl an Cloud-Diensten in verschiedenen Branchen hat es Bedrohungsakteuren leider ermöglicht, diese Plattformen für böswillige Zwecke auszunutzen, darunter aufgrund schwacher Konfigurationen und Ransomware-Angriffe das illegale Mining von Kryptowährungen.
Dieser Missbrauch wird noch dadurch erleichtert, dass Angreifer über Cloud-Dienste ihre Aktivitäten in den normalen Netzwerkbetrieb integrieren können, was die Erkennung erheblich erschwert.
Bedrohungsakteure nutzen die Flexibilität und einfache Bereitstellung serverloser Plattformen, um Malware zu verbreiten und Phishing-Seiten zu hosten. Während Verteidiger Erkennungs- und Abwehrmaßnahmen implementieren, passen die Angreifer ihre Taktiken kontinuierlich an, um diese Abwehrmaßnahmen zu umgehen.
