Latin Amerika (LATAM) merkezli finansal olarak motive olmuş bir aktör kod adı AKICI KÖK Google Cloud sunucusuz projelerini kimlik bilgisi dolandırıcılığı faaliyetlerini düzenlemek için kullandığı gözlemlendi ve bu durum bulut bilişim modelinin kötü amaçlı olarak kötüye kullanılabileceğini ortaya koydu.
Google, iki yılda bir yayınladığı Threat Horizons Raporunda “Sunucusuz mimariler, esneklikleri, maliyet etkinlikleri ve kullanım kolaylıkları nedeniyle geliştiriciler ve işletmeler için çekici” ifadesini kullandı [PDF] The Hacker News ile paylaşıldı.
“Aynı özellikler, sunucusuz bilgi işlem hizmetlerini tüm bulut sağlayıcıları için tehdit aktörleri için cazip hale getiriyor. Bu aktörler, bu hizmetleri kötü amaçlı yazılımlarını iletmek ve bunlarla iletişim kurmak, kullanıcıları kimlik avı sayfalarına yönlendirmek ve kötü amaçlı yazılımları çalıştırmak ve sunucusuz bir ortamda çalışmak üzere özel olarak tasarlanmış kötü amaçlı komut dosyalarını yürütmek için kullanıyorlar.”
Kampanya, LATAM bölgesinde popüler bir çevrimiçi ödeme platformu olan Mercado Pago ile ilişkili oturum açma bilgilerini toplamak amacıyla kimlik bilgisi kimlik avı sayfalarını barındırmak için Google Cloud kapsayıcı URL’lerinin kullanılmasını içeriyordu.
Google’a göre FLUXROOT, Grandoreiro bankacılık trojanını dağıtmasıyla bilinen tehdit aktörü; son saldırılarda kötü amaçlı yazılımı dağıtmak için Microsoft Azure ve Dropbox gibi meşru bulut hizmetlerinden de yararlanılıyor.
Ayrıca, Google’ın bulut altyapısı, Brezilyalı kullanıcıları hedef alan saldırıların bir parçası olarak Astaroth (diğer adıyla Guildma) olarak bilinen başka bir hırsız kötü amaçlı yazılımı yaymak için PINEAPPLE adlı başka bir saldırgan tarafından silah olarak kullanıldı.
“PINEAPPLE, cloudfunctions gibi meşru Google Cloud sunucusuz etki alanlarında kapsayıcı URL’leri oluşturmak için tehlikeye atılmış Google Cloud örneklerini ve kendi oluşturdukları Google Cloud projelerini kullandı[.]net ve run.app,” diye belirtti Google. “URL’ler, hedefleri Astaroth’u düşüren kötü amaçlı altyapıya yönlendiren açılış sayfalarını barındırıyordu.”
Ayrıca tehdit aktörünün, başarısız Gönderen Politika Çerçevesi (SPF) kayıtları olan mesajları düşürmeyen e-posta yönlendirme hizmetlerini kullanarak veya DNS isteği zaman aşımını tetiklemek ve e-posta kimlik doğrulama kontrollerinin başarısız olmasına yol açmak amacıyla SMTP Dönüş Yolu alanına beklenmeyen veriler ekleyerek e-posta ağ geçidi korumalarını aşmaya çalıştığı söyleniyor.
Arama devi, kötü amaçlı Google Cloud projelerini kaldırarak ve Güvenli Tarama listelerini güncelleyerek faaliyetleri hafifletmek için adımlar attığını söyledi.
Zayıf yapılandırmalar sonucu yasadışı kripto para madenciliğinden fidye yazılımlarına kadar tehdit aktörleri tarafından bulut hizmetlerinin ve altyapısının silah olarak kullanılması, bulutun sektörler genelinde daha fazla benimsenmesiyle daha da arttı.
Ayrıca bu yaklaşımın, saldırganların normal ağ aktivitelerine karışmasına olanak tanıması gibi ek bir avantajı da var; bu da tespiti çok daha zor hale getiriyor.
Şirket, “Tehdit aktörleri, kötü amaçlı yazılımları dağıtmak ve kimlik avı sayfalarını barındırmak için sunucusuz platformların esnekliğinden ve dağıtım kolaylığından yararlanıyor” dedi. “Bulut hizmetlerini kötüye kullanan tehdit aktörleri, savunmacıların tespit ve azaltma önlemlerine yanıt olarak taktiklerini değiştiriyor.”