Araştırmacılar, Google Cloud Run Hizmetini kötüye kullanarak bankacılık kötü amaçlı yazılımlarını yayan kampanyalarda endişe verici bir artış olduğunu belirttiler ve bunun halihazırda Latin Amerika köklerinin ötesine yayıldığına dair işaretler olduğunu söylediler.
Google Cloud Run, yöneticilerin ek uygulamalar ve hizmetler geliştirip dağıtmasına olanak tanıyan ücretli bir hizmettir. Tek platformdan Google Cloud.
Cisco Talos, araştırmacılarının Eylül 2023’ten bu yana Astaroth, Mekiotio ve Ousaban türleri de dahil olmak üzere bankacılık Truva atlarını yaymak için Google Cloud Run’ı kötüye kullanan kampanyalarda bir artış gözlemlediği konusunda uyarıyor. Siber araştırmacılar, örtüşen zaman dilimlerinin, depolama paketlerinin ve dağıtım taktikleri, teknikleri ve prosedürlerinin (TTP’ler), kampanyalardan en azından bazılarının bağlantılı olduğunu gösterdiğini ekledi.
Araştırmacılar, kötü niyetli e-postaların hacmindeki artışın yanı sıra, başlangıçta Latin Amerika’ya odaklanan kampanyanın Avrupa ve Kuzey Amerika’ya da yayılmaya başladığını belirtiyor. Kimlik avı e-postalarının çoğu İspanyolca yazılmış olsa da araştırmacılar, bazılarının İtalyanca yazıldığını belirtti.
Cisco Talos ekibi, tek başına Astaroth varyantının 15 Latin Amerika ülkesinde 300’den fazla kurumu hedef aldığını gözlemleyerek mesajların çoğunun Brezilya’dan gönderildiğini belirtti.
Google Cloud Run Nasıl Kötüye Kullanılıyor?
Siber saldırı bir e-postayla başlıyor.
Cisco Talos raporunda, “Çoğu durumda, bu e-postalar faturalar veya mali ve vergi belgeleriyle ilgili temalar kullanılarak gönderiliyor ve bazen de hedeflenen ülkedeki yerel yönetim vergi kurumundan gönderiliyormuş gibi görünüyor.” ifadesine yer verildi. “İçinde [one example]e-postanın, son zamanlarda malspam kampanyalarının sıklıkla hedef aldığı Arjantin’deki yerel yönetim vergi dairesi olan Federal Kamu Gelirleri İdaresi’nden (AFIP) geldiği iddia ediliyor.”
E-postalar, tehdit aktörlerinin kontrol ettiği Cloud Run Web hizmetlerine yönlendiren kötü amaçlı bağlantılar içerir. Çoğu durumda Truva atı, doğrudan Google Cloud Run Web hizmetinden gelen kötü amaçlı bir Microsoft Installer tarafından bırakıldı.
Cisco Talos ekibi, “Saldırganların tespit edilmekten kaçınmak için gizleme mekanizmaları kullandıklarını belirtmekte fayda var.” dedi. “Gözlemlenen gizleme yaklaşımlarından biri coğrafi eklenti kullanmaktır. Bazı Google Cloud Run alanları, Proxy ve Tarayıcıyı kontrol etmek için bir sayfaya yönlendirildi ve toplanan bilgilere göre bir tehdit düzeyi verildi.”
Rapor uzlaşma göstergeleri ve hafifletme tavsiyeleri sağlar.