Cyber kriminalci sve više koriste TryCloudflare tunel za isporuku trojanaca za daljinski pristup (RAT) u finansijski motivisanim napadima. TryCloudflare je alat za programere da eksperimentišu sa Cloudflare tunelom bez dodavanja sajta na Cloudflare DNS.
Hakeri neprestano usavršavaju taktiku kako bi izbjegli otkrivanje i poboljšali efikasnost kampanje, komplicirajući pripisivanje i zahtijevajući stalnu analizu.
Oni koriste funkciju TryCloudflare kompanije Cloudflare Tunnels za distribuciju zlonamjernog softvera, prvenstveno Xworm RAT . Koristeći privremenu prirodu usluge, napadači stvaraju efemernu infrastrukturu za isporuku korisnog tereta, zaobilazeći tradicionalne sigurnosne kontrole.
Pokrenut je u februaru 2024. i intenziviran posljednjih mjeseci, predstavljajući značajnu prijetnju zbog brzog raspoređivanja i mogućnosti izbjegavanja.
Nedavne kampanje isporučuju zlonamjerni softver putem URL veza ili priloga, koristeći internetske prečice za preuzimanje LNK ili VBS datoteka sa WebDAV dijeljenja, koje naknadno izvršavaju BAT ili CMD skripte, preuzimaju Python instalacione programe i skripte za instaliranje zlonamjernog softvera kao što su Xworm, AsyncRAT , VenomRAT, Re GuLoader ili .
Zlonamjerni softver je primijećen u srodnim kampanjama koje su koristile “trycloudflare” tunele.
Neke kampanje koriste obrađivač protokola pretraživanja-ms za LNK preuzimanje i često prikrivaju zlonamjerne aktivnosti benignim PDF-ovima.
Dok Xworm dominira trenutnim kampanjama, svestrani način isporuke omogućava različite sadržaje zlonamjernog softvera, s pojedinačnim Python skriptama koje potencijalno instaliraju različite prijetnje.
Haker provodi velike kampanje putem e-pošte usmjerene na globalne organizacije s mamcima na više jezika isporukom raznih trojanaca za daljinski pristup (RAT) kao što su Xworm, AsyncRAT i VenomRAT, često premašujući obim Remcos i GuLoader kampanja.
Dok koristi dosljedne TTP-ove, haker dinamički prilagođava lanac napada, uključujući nedavno zataškavanje pomoćnih skripti, kako bi izbjegao odbranu i održao operativnu sigurnost, što ukazuje na sofisticiranu i upornu prijetnju.
Cyber kriminalci sve više zloupotrebljavaju TryCloudflare tunele za smještaj zlonamjerne infrastrukture, koja generiše nasumične poddomene na trycloudflare.com, usmjeravajući promet kroz Cloudflare na lokalni server napadača, izbjegavajući tradicionalne sigurnosne mjere i komplicirajući otkrivanje prijetnji.
Dana 28. maja 2024. ciljana kampanja putem e-pošte koja koristi mamce na temu poreza isporučila je zlonamjerni softver AsyncRAT i Xworm pravnim i finansijskim firmama. Zlonamjerne poruke e-pošte sadržavale su URL-ove koji povezuju na komprimirane URL datoteke, koje su zauzvrat upućivale na datoteke remote.LNK.
Izvršavanje ovih datoteka pokrenulo je PowerShell skriptu za preuzimanje Python paketa i skripti, koje su instalirale AsyncRAT i Xworm, pružajući napadačima daljinski pristup sistemu i mogućnosti eksfiltracije podataka.
Lanac napada 28. maja 2024
Prema Proofpointu , 11. jula 2024., kampanja cyber napada usmjerena na sektor finansija, proizvodnje i tehnologije koristila je Cloudflare tunele za distribuciju zlonamjernog softvera AsyncRAT i Xworm.
Preko 1.500 e-poruka, tematskih faktura za narudžbu, sadržavalo je HTML priloge sa upitom za pretraživanje ms koji povezuje sa zlonamjernim LNK fajlom.
Izvršavanje ove datoteke pokrenulo je zamagljenu BAT skriptu koja je preuzela Python instalacioni paket, na kraju instalirajući AsyncRAT i Xworm putem PowerShell-a.
Izvor:CybersecurityNews