据《黑客新闻》(The Hacker News)报道,一个代号为 "FLUXROOT "的拉美金融威胁组织正在利用谷歌云无服务器项目策划证书钓鱼活动。
这一事件并不是孤立的,网络空间中的许多歹徒都在利用云计算服务达到恶意目的。因此,IT 和网络安全专业人员正面临着网络安全领域迫在眉睫的挑战。
谷歌一年两次的《威胁地平线报告》对无服务器架构的扩展进行了研究,并就您需要了解的内容提供了建议。正如报告所指出的,无服务器技术的灵活性、低成本和简便性等有利于合法企业的方面也吸引了网络犯罪分子。具体来说,威胁行为者一直在将这种基础设施作为一种服务来扩散恶意软件、存储和提供钓鱼网页以及运行无服务器兼容脚本。
关于 FLUXROOT,该组织使用谷歌云容器 URL 来托管复杂的凭证钓鱼页面。他们的目标是 Mercado Pago,这是一个在整个拉丁美洲地区非常流行的在线支付平台。该组织通过冒充该平台的登录界面来获取用户的登录凭据,目的是在未经授权的情况下访问受害者的金融账户。
值得注意的是,FLUXROOT 的所作所为并不局限于这一特定活动。该组织还以传播窃取信息的 Grandoreiro 银行木马而闻名,这是一种针对金融业务的复杂恶意软件。最近,人们发现 FLUXROOT 的策略发生了变化,它现在使用其他合法的云服务来传播恶意软件,包括 Microsoft Azure 和 Dropbox。由此可见,他们的策略取得了成功,云服务已成为该组织开展 "业务 "的另一种方式。
但 FLUXROOT 并不是唯一一个利用谷歌云基础设施的威胁行为者。据观察,另一个名为 PINEAPPLE 的对手利用谷歌云传播一种名为 Astaroth(又称 Guildma)的不同恶意软件。这种偷窃型恶意软件主要针对巴西用户,凸显了其中一些攻击的地区重点。
PINEAPPLE 的方法包括入侵现有的谷歌云实例和创建自己的项目。他们利用这些资源在合法的谷歌云无服务器域(如 cloudfunctions[.]net 和 run.app)上生成容器 URL。这些URL托管的登陆页面会将毫无戒备的目标重定向到恶意基础设施,从而部署Astaroth恶意软件。
此外,PINEAPPLE 还展示了高级规避技术。例如,他们使用的邮件转发服务不会丢弃发件人策略框架(SPF)失效的邮件。他们还在原始代码中加入了意想不到的数据,这些数据通常出现在 SMTP 返回路径字段中,会触发 DNS 请求超时。添加这些数据还会导致 SPF 检查失败,从而妨碍电子邮件验证测试。这些技术非常先进,表明网络能力正在迅速增强。
针对这些威胁,谷歌采取了果断行动。这家科技巨头已经关闭了已确认的恶意谷歌云项目,并更新了安全浏览列表以保护用户。然而,这一事件凸显了网络安全防御者与云领域威胁参与者之间正在进行的猫鼠游戏。
网络犯罪分子将云服务和基础设施武器化的行为不仅限于网络钓鱼和恶意软件传播。其他恶意活动,如利用薄弱配置进行非法加密货币挖矿和勒索软件攻击,也在云环境中激增。这一趋势主要是由于云技术在各行各业的广泛应用。
这种转变带来的最重大挑战之一是检测恶意活动的难度增加。通过利用合法的云服务,威胁行为者可以更容易地将其操作混入正常的网络流量中,从而使安全团队更难区分合法和恶意活动。
无论如何,以目前采用云技术的速度(无论载体是否失控)来看,云提供商及其消费者显然都应保持警惕。定期安全审计、可靠的身份验证手段和先进的威胁检测系统正迅速成为任何安全云环境的先决条件。明天的攻击永远不会与昨天的攻击相同,我们应对攻击的工具也不应该相同。
下一条: 威瑞信下调域名预期:市场缩减,盈利增长
