据Hacker News报道,一个代号为 FLUXROOT 的拉丁美洲经济驱动威胁组织正在利用 Google Cloud 无服务器项目策划凭证网络钓鱼活动。
此次事件并非孤例,网络空间中有许多不法分子正在利用云计算服务来达到恶意目的。因此,IT 和网络安全专业人员在网络安全领域面临着紧迫的挑战。
Google 每两年发布一次的《威胁前景报告》探讨了无服务器架构的扩展,并就您需要了解的内容提供了建议。正如报告所指出的,无服务器技术的优点(灵活性、低成本和简单性)使合法企业受益,但同时也吸引了网络犯罪分子。具体来说,威胁行为者一直在利用这种基础设施即服务来传播恶意软件、存储和提供网络钓鱼页面以及运行与无服务器兼容的脚本。
至于 FLUXROOT,该组织使用 Google Cloud 容器 URL 来托管复杂的凭证钓鱼页面。他们的目标是 Mercado Pago,这是一个在整个拉丁美洲地区使用非常流行的在线支付平台。该组织的努力依赖于模仿该平台的登录界面来获取用户的登录凭证,目的是确保未经授权访问受害者的金融账户。
值得注意的是,FLUXROOT 的工作并不局限于这一特定的活动。该组织还因传播窃取信息的 Grandoreiro 银行木马而闻名,这是一种针对金融业务的复杂恶意软件。最近,人们发现 FLUXROOT 的策略已经改变,它现在使用其他合法的云服务来传播恶意软件,包括 Microsoft Azure 和 Dropbox。因此,他们的策略是成功的,云服务已成为该组织开展“业务”的另一种方式。
但 FLUXROOT 并不是唯一一个利用 Google 云基础设施的威胁行为者。据观察,另一个名为 PINEAPPLE 的对手正在使用 Google Cloud 传播另一种名为 Astaroth(也称为 Guildma)的恶意软件。这种窃取恶意软件主要针对巴西用户,这凸显了其中一些攻击的地区重点。
PINEAPPLE 的方法包括入侵现有的 Google Cloud 实例和创建自己的项目。他们使用这些资源在合法的 Google Cloud 无服务器域(例如 cloudfunctions[.]net 和 run.app)上生成容器 URL。这些 URL 托管着陆页,然后将毫无戒心的目标重定向到恶意基础设施,从而部署 Astaroth 恶意软件。
此外,PINEAPPLE 还展示了高级规避技术。例如,他们使用邮件转发服务,不会丢弃发件人策略框架 (SPF) 失败的邮件。他们还加入了原始代码中意外的数据,通常是 SMTP Return-Path 字段中的数据,这会触发 DNS 请求超时。添加这些数据还会通过失败的 SPF 检查来阻碍电子邮件身份验证测试。这些技术非常先进,表明网络能力正在以惊人的速度增长。
为了应对这些威胁,谷歌采取了果断行动。这家科技巨头已关闭已识别的恶意 Google Cloud 项目,并更新了其安全浏览列表以保护用户。然而,这起事件凸显了网络安全防御者和云空间威胁行为者之间正在进行的猫捉老鼠游戏。
网络犯罪分子利用云服务和基础设施进行武器化的做法不仅限于网络钓鱼和恶意软件传播。其他恶意活动,例如利用薄弱配置进行非法加密货币挖掘和勒索软件攻击,也在云环境中出现激增。这一趋势很大程度上是由各行各业广泛采用云技术所推动的。
这种转变带来的最重大挑战之一是检测恶意活动的难度增加。通过利用合法的云服务,威胁行为者可以更轻松地将其操作混入正常网络流量中,使安全团队更难区分合法活动和恶意活动。
无论如何,以目前云采用的速度来看——无论载体是否不受控制——显然云提供商及其消费者都应该保持警惕。定期的安全审计、可靠的身份验证手段和尖端的威胁检测系统正迅速成为任何安全云环境的先决条件。明天的攻击永远不会与昨天的攻击相同,我们应对这些攻击的工具也永远不会相同。