Google Cloud ditargetkan oleh PINEAPPLE dan FLUXROOT untuk serangan phishing
Proyek tanpa server Google Cloud digunakan oleh kelompok ancaman keuangan Amerika Latin, bernama FLUXROOT, untuk mengatur kampanye phishing kredensial, Berita Peretas telah dilaporkan.
Insiden-insiden ini tidak terjadi sendirian, karena banyak penjahat di dunia maya yang mengeksploitasi layanan komputasi awan untuk tujuan jahat. Oleh karena itu, para profesional TI dan keamanan siber menghadapi tantangan mendesak dalam lanskap keamanan siber.
Laporan Threat Horizons dua tahunan Google meneliti perluasan arsitektur tanpa server dan menawarkan saran tentang apa yang perlu Anda ketahui. Sebagaimana dicatat dalam laporan tersebut, aspek yang sama dari teknologi tanpa server yang membuatnya berguna bagi perusahaan yang sah – yaitu fleksibilitas, biaya rendah, dan kesederhanaannya – telah menarik para penjahat dunia maya. Secara khusus, pelaku ancaman telah beralih ke infrastruktur ini sebagai layanan untuk penyebaran malware, menyimpan dan menyajikan halaman phishing, dan menjalankan skrip yang kompatibel tanpa server.
Mengenai FLUXROOT, grup tersebut menggunakan URL penampung Google Cloud untuk menyediakan halaman phishing kredensial yang canggih. Targetnya adalah Mercado Pago, platform pembayaran online yang sangat populer digunakan di seluruh wilayah Amerika Latin. Bisnis kelompok ini mengandalkan peniruan antarmuka login platform untuk mengumpulkan kredensial login pengguna, dengan tujuan mengamankan akses tidak sah ke rekening keuangan korban.
Perlu dicatat bahwa pekerjaan FLUXROOT tidak terbatas pada kampanye khusus ini. Kelompok ini juga dikenal karena mendistribusikan trojan perbankan yang mencuri informasi, Grandoreiro, sebuah malware canggih yang menargetkan operasi keuangan. Baru-baru ini, ditemukan bahwa taktik FLUXROOT telah berubah, dan sekarang menggunakan layanan cloud sah lainnya untuk menyebarkan malware, termasuk Microsoft Azure dan Dropbox. Dengan demikian, taktik mereka berhasil, dan layanan cloud telah menjadi cara lain bagi grup tersebut untuk menjalankan “bisnis” mereka.
Namun FLUXROOT bukan satu-satunya pelaku ancaman yang mengeksploitasi infrastruktur cloud Google. Musuh lain, yang diidentifikasi sebagai nanas, telah diamati menggunakan Google Cloud untuk menyebarkan jenis malware berbeda yang dikenal sebagai Astaroth (juga disebut Guildma). Malware tersembunyi ini terutama menargetkan pengguna di Brasil, sehingga menyoroti fokus regional dari beberapa serangan ini.
Metodologi PineaPPLE melibatkan kompromi pada instance Google Cloud yang ada dan membuat proyek Anda sendiri. Mereka menggunakan resource ini untuk membuat URL container di domain tanpa server Google Cloud yang valid, seperti fungsi cloud[.]net dan jalankan.app. URL ini dihosting di laman landas yang kemudian akan mengarahkan target yang tidak menaruh curiga ke infrastruktur berbahaya, yang mengakibatkan penyebaran malware Astaroth.
Selain itu, nanas menunjukkan teknik penghindaran tingkat tinggi. Misalnya, mereka menggunakan layanan penerusan email yang tidak mengirim pesan dengan Sender Policy Framework (SPF) yang gagal. Ini juga mencakup data tak terduga dalam kode asli dan biasanya di bidang SMTP Return-Path, yang akan memicu batas waktu dalam permintaan DNS. Menambahkan data ini juga akan memblokir pengujian autentikasi email karena gagal dalam pemeriksaan SPF. Teknik-teknik ini sangat canggih dan menunjukkan peningkatan tingkat kemampuan siber.
Menanggapi ancaman ini, Google telah mengambil tindakan tegas. Raksasa teknologi ini telah menutup proyek Google Cloud yang berbahaya dan memperbarui daftar Penjelajahan Aman untuk melindungi pengguna. Namun, insiden ini menyoroti permainan kucing-kucingan yang sedang berlangsung antara pembela keamanan siber dan pelaku ancaman di ruang cloud.
Persenjataan layanan dan infrastruktur cloud oleh penjahat dunia maya tidak hanya terbatas pada penyebaran phishing dan malware. Aktivitas berbahaya lainnya, seperti penambangan mata uang kripto ilegal yang mengeksploitasi konfigurasi lemah dan serangan ransomware, juga mengalami lonjakan di lingkungan cloud. Tren ini sebagian besar didorong oleh penerapan teknologi cloud di berbagai industri.
Salah satu tantangan terpenting yang ditimbulkan oleh perubahan ini adalah semakin sulitnya mendeteksi aktivitas jahat. Dengan memanfaatkan layanan cloud yang sah, pelaku ancaman dapat lebih mudah memadukan operasi mereka ke dalam lalu lintas jaringan normal, sehingga mempersulit tim keamanan untuk membedakan antara aktivitas sah dan berbahaya.
Apapun masalahnya, dengan laju adopsi cloud saat ini – terlepas dari apakah vektornya sudah di luar kendali atau tidak – jelas bahwa penyedia cloud dan pelanggan mereka harus tetap waspada. Audit keamanan rutin, alat autentikasi yang kuat, dan sistem canggih untuk deteksi ancaman dengan cepat merupakan prasyarat untuk lingkungan cloud yang aman. Serangan di masa depan tidak akan pernah sama dengan serangan kemarin, begitu pula alat kita untuk melawannya.
Lihat juga: Alphabet mengalahkan ekspektasi pendapatan dan laba Q2 di tengah permintaan iklan yang kuat
Ingin mempelajari lebih lanjut tentang keamanan siber dan cloud dari para pemimpin industri? Memeriksa Pameran Keamanan Cyber & Cloud berlangsung di Amsterdam, California, dan London. Jelajahi acara teknologi perusahaan dan webinar lainnya yang didukung oleh TechForge Ini dia.