Proyek tanpa server Google Cloud digunakan oleh kelompok ancaman bermotif finansial di Amerika Latin, dengan nama kode FLUXROOT, untuk mengatur kampanye phishing kredensial, The Hacker News melaporkan.
Peristiwa ini tidak terjadi sendirian, karena banyak pelaku kejahatan di dunia maya yang mengeksploitasi layanan komputasi awan untuk tujuan jahat. Oleh karena itu, para profesional TI dan keamanan siber menghadapi tantangan mendesak dalam lanskap keamanan siber.
Laporan Threat Horizons dua tahunan Google meneliti perluasan arsitektur tanpa server dan menawarkan saran tentang apa yang perlu Anda ketahui. Sebagaimana dicatat dalam laporan tersebut, aspek yang sama dari teknologi tanpa server yang menjadikannya bermanfaat bagi perusahaan yang sah – yaitu fleksibilitas, biaya rendah, dan kesederhanaannya – telah menarik para penjahat dunia maya. Secara khusus, pelaku ancaman telah beralih ke infrastruktur ini sebagai layanan untuk memperbanyak malware, menyimpan dan menyajikan halaman phishing, dan menjalankan skrip yang kompatibel tanpa server.
Mengenai FLUXROOT, grup tersebut menggunakan URL penampung Google Cloud untuk menghosting halaman phishing kredensial yang canggih. Target mereka adalah Mercado Pago, platform pembayaran online yang sangat populer dan digunakan di seluruh wilayah Amerika Latin. Upaya kelompok ini mengandalkan peniruan antarmuka login platform untuk mengambil kredensial login pengguna, dengan tujuan mengamankan akses tidak sah ke rekening keuangan korban.
Perlu dicatat bahwa pekerjaan FLUXROOT tidak terbatas pada kampanye khusus ini. Kelompok ini juga dikenal karena mendistribusikan trojan perbankan Grandoreiro yang mencuri informasi, sebuah malware canggih yang menargetkan operasi keuangan. Baru-baru ini, ditemukan bahwa taktik FLUXROOT telah berubah, dan sekarang menggunakan layanan cloud sah lainnya untuk mendistribusikan malware, termasuk Microsoft Azure dan Dropbox. Dengan demikian, taktik mereka berhasil, dan layanan cloud telah menjadi cara lain bagi grup tersebut untuk menjalankan “bisnis” mereka.
Namun FLUXROOT bukan satu-satunya pelaku ancaman yang mengeksploitasi infrastruktur cloud Google. Musuh lain, yang diidentifikasi sebagai PINEAPPLE, telah diamati menggunakan Google Cloud untuk menyebarkan jenis malware berbeda yang dikenal sebagai Astaroth (juga disebut Guildma). Malware pencuri ini terutama menargetkan pengguna di Brasil, menyoroti fokus regional dari beberapa serangan ini.
Metodologi PINEAPPLE melibatkan kompromi pada instance Google Cloud yang ada dan pembuatan proyeknya sendiri. Mereka menggunakan resource ini untuk membuat URL container di domain tanpa server Google Cloud yang sah, seperti cloudfunctions[.]net dan run.app. URL ini menghosting laman landas yang kemudian akan mengarahkan target yang tidak menaruh curiga ke infrastruktur berbahaya, yang mengakibatkan penyebaran malware Astaroth.
Selanjutnya, PINEAPPLE mendemonstrasikan teknik penghindaran tingkat tinggi. Misalnya, mereka menggunakan layanan penerusan email yang tidak mengirimkan pesan dengan Sender Policy Framework (SPF) yang gagal. Mereka juga memasukkan data yang tidak terduga dalam kode asli dan biasanya di bidang SMTP Return-Path, yang akan memicu batas waktu dalam permintaan DNS. Penambahan data ini juga akan menghambat pengujian autentikasi email karena gagal dalam pemeriksaan SPF. Teknik-teknik ini sangat maju dan menunjukkan tingkat peningkatan kemampuan siber.
Menanggapi ancaman tersebut, Google telah mengambil tindakan tegas. Raksasa teknologi ini telah menutup proyek Google Cloud berbahaya yang teridentifikasi dan memperbarui daftar Penjelajahan Aman untuk melindungi pengguna. Namun, insiden ini menyoroti permainan kucing-kucingan yang sedang berlangsung antara pembela keamanan siber dan pelaku ancaman di ruang cloud.
Persenjataan layanan dan infrastruktur cloud oleh penjahat dunia maya tidak terbatas pada penyebaran phishing dan malware. Aktivitas berbahaya lainnya, seperti penambangan mata uang kripto ilegal yang mengeksploitasi konfigurasi lemah dan serangan ransomware, juga mengalami lonjakan di lingkungan cloud. Tren ini sebagian besar didorong oleh meluasnya adopsi teknologi cloud di berbagai industri.
Salah satu tantangan paling signifikan yang ditimbulkan oleh perubahan ini adalah semakin sulitnya mendeteksi aktivitas jahat. Dengan memanfaatkan layanan cloud yang sah, pelaku ancaman dapat lebih mudah memadukan operasi mereka ke dalam lalu lintas jaringan normal, sehingga mempersulit tim keamanan untuk membedakan antara aktivitas sah dan berbahaya.
Apapun masalahnya, dengan laju adopsi cloud saat ini – terlepas dari apakah vektornya tidak terkendali atau tidak – jelas bahwa baik penyedia cloud maupun konsumennya harus tetap waspada. Audit keamanan rutin, sarana autentikasi yang solid, dan sistem deteksi ancaman yang mutakhir dengan cepat menjadi prasyarat untuk setiap lingkungan cloud yang aman. Serangan di masa depan tidak akan pernah sama dengan serangan di masa lalu, begitu pula alat kita untuk melawannya.
