الأمن السيبراني Cloud, Google, Hacker, PINEAPPLE, استخدام, الاحتيالي, الاعتماد, تسيء, لبيانات, للتصيد, مجموعات, وFLUXROOT eshrag يوليو 22, 2024

تسيء مجموعات PINEAPPLE وFLUXROOT Hacker استخدام Google Cloud للتصيد الاحتيالي لبيانات الاعتماد

22 يوليو 2024غرفة الأخبارالأمن السحابي / هجوم التصيد

ممثل من أمريكا اللاتينية (LATAM) ذو دوافع مالية يحمل الاسم الرمزي فلوكسروت تمت ملاحظة الاستفادة من مشاريع Google Cloud بدون خادم لتنظيم نشاط التصيد الاحتيالي لبيانات الاعتماد، وتسليط الضوء على إساءة استخدام نموذج الحوسبة السحابية لأغراض ضارة.

وقالت جوجل في تقريرها نصف السنوي: “إن البنى بدون خادم جذابة للمطورين والمؤسسات بسبب مرونتها وفعاليتها من حيث التكلفة وسهولة الاستخدام”. تقرير آفاق التهديد [PDF] تمت مشاركتها مع The Hacker News.

“هذه الميزات نفسها تجعل خدمات الحوسبة بدون خادم لجميع مقدمي الخدمات السحابية جذابة للجهات الفاعلة في مجال التهديد، الذين يستخدمونها لتوصيل البرامج الضارة والتواصل معها، واستضافة المستخدمين وتوجيههم إلى صفحات التصيد، وتشغيل البرامج الضارة وتنفيذ البرامج النصية الضارة المصممة خصيصًا للتشغيل في بيئة آمنة. بيئة بلا خادم.”

تضمنت الحملة استخدام عناوين URL لحاوية Google Cloud لاستضافة صفحات تصيد بيانات الاعتماد بهدف جمع معلومات تسجيل الدخول المرتبطة بـ Mercado Pago، وهي منصة دفع عبر الإنترنت شائعة في منطقة LATAM.

إن FLUXROOT، وفقًا لشركة Google، هو جهة التهديد المعروفة بتوزيع حصان طروادة المصرفي Grandoreiro، حيث تستفيد الحملات الأخيرة أيضًا من الخدمات السحابية المشروعة مثل Microsoft Azure وDropbox لتوزيع البرامج الضارة.

بشكل منفصل، تم أيضًا تسليح البنية التحتية السحابية لـ Google بواسطة خصم آخر يُدعى PINEAPPLE لنشر برنامج ضار آخر للسرقة يُعرف باسم Astaroth (المعروف أيضًا باسم Guildma) كجزء من الهجمات التي تستهدف المستخدمين البرازيليين.

“استخدمت PINEAPPLE مثيلات Google Cloud المخترقة ومشاريع Google Cloud التي أنشأوها بأنفسهم لإنشاء عناوين URL للحاوية على نطاقات Google Cloud الشرعية بدون خادم مثل الوظائف السحابية[.]net وrun.app”، لاحظت Google. “استضافت عناوين URL صفحات مقصودة تعيد توجيه الأهداف إلى البنية التحتية الضارة التي أسقطت Astaroth.”

علاوة على ذلك، يُقال إن جهة التهديد قد حاولت تجاوز إجراءات حماية بوابة البريد الإلكتروني من خلال الاستفادة من خدمات إعادة توجيه البريد التي لا تسقط الرسائل باستخدام إطار سياسة المرسل الفاشل (عامل حماية من الشمس (SPF).) السجلات، أو دمج بيانات غير متوقعة في حقل مسار إرجاع SMTP من أجل تشغيل مهلة طلب DNS والتسبب في فشل عمليات التحقق من مصادقة البريد الإلكتروني.

وقالت شركة البحث العملاقة إنها اتخذت خطوات للتخفيف من الأنشطة عن طريق إزالة مشاريع Google Cloud الضارة وتحديثها قوائم التصفح الآمن.

إن تسليح الخدمات السحابية والبنية التحتية من قبل جهات التهديد – بدءًا من التعدين غير المشروع للعملات المشفرة كتهديد عاقبة ل تكوينات ضعيفة لبرامج الفدية – كان زود بالوقود من خلال الاعتماد المعزز للسحابة عبر الصناعات.

علاوة على ذلك، فإن لهذا النهج فائدة إضافية تتمثل في السماح للخصوم بالاندماج في أنشطة الشبكة العادية، مما يجعل الكشف أكثر صعوبة.

وقالت الشركة: “تستفيد الجهات الفاعلة في مجال التهديد من المرونة وسهولة نشر الأنظمة الأساسية بدون خادم لتوزيع البرامج الضارة واستضافة صفحات التصيد”. “إن الجهات الفاعلة في مجال التهديد التي تسيء استخدام الخدمات السحابية تغير تكتيكاتها استجابةً لتدابير الكشف والتخفيف التي يتخذها المدافعون.”

وجدت هذه المادة مثيرة للاهتمام؟ اتبعنا تويتر و ينكدين لقراءة المزيد من المحتوى الحصري الذي ننشره.

Source link