FLUXROOT 脅威グループ

ラテンアメリカ (LATAM) を拠点とする金銭目的のグループ、FLUXROOT が、Google Cloud のサーバーレス プロジェクトを使用して認証情報のフィッシング キャンペーンを実行していることが検出されました。この状況は、クラウド コンピューティング モデルが脅威的な活動に悪用される可能性があることを浮き彫りにしています。開発者や企業は、柔軟性、コスト効率、使いやすさからサーバーレス アーキテクチャを好みます。しかし、これらの利点は、サーバーレス コンピューティング サービスをサイバー犯罪者にとっても魅力的なものにしています。サイバー犯罪者はこれらのプラットフォームを利用して、マルウェアの配布と管理、フィッシング サイトのホスティング、サーバーレス環境向けに特別に設計された不正なスクリプトの実行を行っています。

FLUXROOT はバンキング型トロイの木馬でユーザーを標的にする

このキャンペーンでは、Google Cloud コンテナの URL を使用して認証情報のフィッシング ページをホストし、ラテンアメリカ地域で広く使用されているオンライン決済プラットフォームである Mercado Pago のログイン認証情報をターゲットにしていました。Google によると、このキャンペーンの背後にいる脅威アクターは FLUXROOT であり、以前はGrandoreiroバンキング型トロイの木馬を拡散したことで知られていました。FLUXROOT の最近の活動には、Microsoft Azure や Dropbox などの正当なクラウド サービスを悪用してマルウェアを配布することも含まれます。

サイバー犯罪者はクラウド サービスを悪用してマルウェアを拡散

別のケースでは、別の脅威アクターであるPINEAPPLEがGoogleのクラウドインフラストラクチャを悪用し、ブラジルのユーザーを狙った攻撃でAstaroth stealerマルウェア（別名Guildma）を配布しました。

PINEAPPLE は Google Cloud インスタンスを侵害し、独自の Google Cloud プロジェクトを作成して、cloudfunctions.net や run.app などの正当な Google Cloud サーバーレス ドメイン上にコンテナ URL を生成しました。これらの URL は、ターゲットを Astaroth マルウェアを配信するための不正なインフラストラクチャにリダイレクトするランディング ページをホストしていました。

さらに、PINEAPPLE は、Sender Policy Framework (SPF) レコードに違反したメッセージを通過させるメール転送サービスを使用して、電子メール ゲートウェイの防御を回避しようとしました。また、予期しないデータを使用して SMTP Return-Path フィールドを操作し、DNS 要求のタイムアウトをトリガーして、電子メール認証チェックを失敗させました。

犯罪者は合法的なサービスを悪用して悪質な行為を行う

Google は、これらの脅威に対処するために、安全でない Google Cloud プロジェクトをシャットダウンし、セーフ ブラウジング リストを更新することで、活動を軽減する措置を講じました。

さまざまな業界でクラウド サービスの選択肢が増えたことにより、残念ながら、脆弱な構成による違法な暗号通貨マイニングやランサムウェア攻撃など、脅威アクターが悪意のある目的でこれらのプラットフォームを悪用できるようになりました。

クラウド サービスでは、攻撃者が自身の活動を通常のネットワーク操作と融合できるため、この悪用がさらに促進され、検出が著しく困難になります。

脅威アクターは、サーバーレス プラットフォームの柔軟性と導入の容易さを利用して、マルウェアを配布したり、フィッシング ページをホストしたりします。防御側が検出と緩和の対策を実施すると、攻撃者はこれらの防御を回避するために戦術を継続的に調整します。