라틴 아메리카(LATAM)에 기반을 둔 재정적 동기를 가진 행위자 코드명 플럭스루트 Google Cloud 서버리스 프로젝트를 활용하여 자격 증명 피싱 활동을 조직하는 것으로 관찰되었으며, 이는 악의적인 목적으로 클라우드 컴퓨팅 모델을 남용하는 것을 보여줍니다.
Google은 The Hacker News와 공유한 2년마다 발행되는 위협 지평 보고서(PDF)에서 “서버리스 아키텍처는 유연성, 비용 효율성, 사용 편의성 때문에 개발자와 기업에 매력적입니다.”라고 밝혔습니다.
“이와 동일한 기능 덕분에 모든 클라우드 공급자를 위한 서버리스 컴퓨팅 서비스는 위협 행위자에게 매력적으로 다가갑니다. 위협 행위자는 이를 사용하여 맬웨어를 전달하고 통신하고, 사용자를 피싱 페이지로 호스팅하고 유도하고, 맬웨어를 실행하고 서버리스 환경에서 실행되도록 특별히 맞춤화된 악성 스크립트를 실행합니다.”
이 캠페인에는 Google Cloud 컨테이너 URL을 사용하여 자격 증명 피싱 페이지를 호스팅하는 방식이 사용되었으며, 그 목적은 LATAM 지역에서 인기 있는 온라인 결제 플랫폼인 Mercado Pago와 관련된 로그인 정보를 수집하는 것이었습니다.
Google에 따르면 FLUXROOT는 Grandoreiro 뱅킹 트로이 목마를 배포한 것으로 알려진 위협 행위자이며, 최근 캠페인에서는 Microsoft Azure와 Dropbox와 같은 합법적인 클라우드 서비스를 악용하여 맬웨어를 배포했습니다.
또한, 구글의 클라우드 인프라는 PINEAPPLE이라는 또 다른 적대 세력에 의해 무기화되어 브라질 사용자를 표적으로 삼는 공격의 일환으로 Astaroth(일명 Guildma)라는 또 다른 스틸러 맬웨어를 확산시켰습니다.
“PINEAPPLE은 손상된 Google Cloud 인스턴스와 직접 만든 Google Cloud 프로젝트를 사용하여 cloudfunctions(.)net 및 run.app과 같은 합법적인 Google Cloud 서버리스 도메인에 컨테이너 URL을 생성했습니다.” Google에서 언급했습니다. “해당 URL은 Astaroth를 삭제한 악성 인프라로 대상을 리디렉션하는 랜딩 페이지를 호스팅했습니다.”
또한 위협 행위자는 SPF(발신자 정책 프레임워크) 레코드가 실패한 메시지를 삭제하지 않는 메일 전달 서비스를 이용하거나, SMTP 반환 경로 필드에 예상치 못한 데이터를 통합하여 DNS 요청 시간 초과를 유발하고 이메일 인증 검사가 실패하게 함으로써 이메일 게이트웨이 보호를 우회하려고 시도한 것으로 알려졌습니다.
검색 대기업은 악성 Google Cloud 프로젝트를 중단하고 안전 브라우징 목록을 업데이트하여 이러한 활동을 완화하기 위한 조치를 취했다고 밝혔습니다.
취약한 구성으로 인한 불법 암호화폐 채굴부터 랜섬웨어에 이르기까지 위협 행위자들이 클라우드 서비스와 인프라를 무기화하는 현상은 업계 전반에 걸쳐 클라우드 도입이 확대됨에 따라 더욱 가속화되었습니다.
더욱이 이 접근 방식은 적대 세력이 일반적인 네트워크 활동에 섞여 활동할 수 있다는 추가적인 이점이 있어 탐지를 훨씬 더 어렵게 만듭니다.
“위협 행위자들은 서버리스 플랫폼의 유연성과 배포 용이성을 이용해 맬웨어를 배포하고 피싱 페이지를 호스팅합니다.”라고 회사는 말했습니다. “클라우드 서비스를 악용하는 위협 행위자들은 방어자의 탐지 및 완화 조치에 대응하여 전략을 바꿉니다.”
