กลุ่ม PINEAPPLE และ FLUXROOT ใช้ Google Cloud ในการหลอกขอข้อมูลประจำตัว
สรุปข้อมูล
พบผู้โจมตีทางไซเบอร์ที่มีชื่อว่า FLUXROOT ซึ่งมีฐานอยู่ในละตินอเมริกา ใช้ประโยชน์จาก Google Cloud เพื่อดำเนินการ Phishing ข้อมูลประจำตัวโดยใช้ URL ของ Google Cloud container เพื่อเข้าหน้า web ที่เป็น Phishing โดยมีเป้าหมายในการ เก็บรวบรวมข้อมูลการเข้าสู่ระบบของ Mercado Pago นอกจากนี้ FLUXROOT ยังใช้บริการคลาวด์อื่นๆ เช่น Microsoft Azure และ Dropbox ในการแจกจ่ายมัลแวร์
นอกจากนี้ยังพบผู้โจมตีอีกกลุ่มที่ใช้ชื่อว่า PINEAPPLE ใช้โครงสร้างพื้นฐานของ Google Cloud เพื่อกระจายมัลแวร์ Astaroth โดยใช้ Google Cloud instances ที่ถูกละเมิดสร้าง URL ของ container บนโดเมนของ Google Cloud เพื่อเปลี่ยนเส้นทาง เป้าหมายไปยัง web ที่เป็นอันตราย
รายละเอียดเชิงเทคนิค
1. ผู้โจมตีจะสร้าง Google Cloud instances สำหรับการโจมตี โดยสร้าง URL ของ container บน Domain ของ Google Cloud เช่น cloudfunctions[.]net และ run[.]app
2. ผู้โจมตีใช้ Google Cloud container URL เพื่อเก็บรวบรวมข้อมูลการเข้าสู่ระบบของผู้ใช้ เช่น หน้าเข้าสู่ระบบของ Mercado Pago โดยส่งลิงก์ Phishing ผ่านอีเมล, โซเชียลมีเดีย หรือเว็บไซต์ที่น่าเชื่อถือ เพื่อหลอกให้เหยื่อคลิกและเข้าสู่หน้าเว็บที่ผู้โจมตีออกแบบมา
3. เมื่อผู้ใช้ป้อนข้อมูลเข้าสู่หน้าเว็บฟิชชิ่ง ผู้โจมตีจะเก็บรวบรวมข้อมูลประจำตัวและข้อมูลสำคัญของผู้ใช้ เช่น ชื่อผู้ใช้และรหัสผ่าน
4. ผู้โจมตีอัพโหลดไฟล์มัลแวร์ไปยังบริการคลาวด์ เช่น Microsoft Azure และ Dropbox แล้วส่งลิงก์ให้เหยื่อดาวน์โหลดและติดตั้ง โดยใช้ประโยชน์จากความน่าเชื่อถือของบริการเหล่านี้
5. เมื่อเหยื่อดาวน์โหลดและติดตั้งมัลแวร์ Astaroth จะถูกเรียกใช้และทำการขโมยข้อมูลประจำตัวและข้อมูลอื่น ๆ ของผู้ใช้
6. ผู้โจมตีจะสร้างช่องทางเข้าถึงถาวรในระบบที่ถูกโจมตี โดยการตั้งค่ามัลแวร์หรือการกำหนดค่าที่เป็นอันตราย เพื่อให้สามารถกลับเข้ามาควบคุมระบบได้ตลอดเวลา และผู้โจมตีใช้ประโยชน์จากทรัพยากรของระบบหรือคลาวด์ในการขุด cryptocurrency โดยไม่ได้รับอนุญาต
ผลกระทบจากการโจมตี
1. ผู้โจมตีสามารถเข้าถึงและควบคุมระบบได้อย่างสมบูรณ์ และสามารถติดตั้งมัลแวร์ แก้ไขข้อมูล และสร้างช่องทางเข้าถึงถาวรได้
2. ข้อมูลการเข้าสู่ระบบของผู้ใช้ เช่น ชื่อผู้ใช้และรหัสผ่านจะถูกขโมย ทำให้ข้อมูลส่วนตัวและการเงินของผู้ใช้ตกอยู่ในความเสี่ยง
3. ทรัพยากรบนระบบจะถูกใช้ในการขุด cryptocurrency โดยไม่ได้รับอนุญาต ส่งผลให้ค่าใช้จ่ายในการใช้บริการคลาวด์เพิ่มขึ้น
คำแนะนำ
- ควรดำเนินการตรวจสอบและอัปเดตการตั้งค่าความปลอดภัยของบริการคลาวด์อย่างสม่ำเสมอ เช่น การปิดบริการที่ไม่จำเป็นและการตั้งค่าการควบคุมการเข้าถึงที่เข้มงวด
- แนะนำให้เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับบัญชีผู้ใช้ทั้งหมด เพื่อเพิ่มความปลอดภัยในการเข้าถึงระบบ โดยใช้แอปพลิเคชันหรืออุปกรณ์ยืนยันตัวตนที่เชื่อถือได้
- จัดการฝึกอบรมเกี่ยวกับความปลอดภัยทางไซเบอร์ให้กับพนักงาน เพื่อให้พนักงานสามารถระบุและหลีกเลี่ยงการถูกโจมตี เช่น ฟิชชิ่งอีเมล
แหล่งอ้างอิง
- https://thehackernews.com/2024/07/pineapple-and-fluxroot-hacker-groups.html
- https://www.redpacketsecurity.com/pineapple-and-fluxroot-hacker-groups-abuse-google-cloud-forcredential-phishing/
