Kompanije za cyber sigurnost upozoravaju na porast zloupotrebe besplatne usluge TryCloudflare Clouflare za isporuku zlonamjernog softvera.
Aktivnost, koju su dokumentovali i eSentire i Proofpoint, podrazumijeva korištenje TryCloudflare-a za kreiranje jednokratnog tunela koji djeluje kao kanal za prenos prometa sa servera koji kontroliše napadač na lokalni računar kroz Cloudflare-ovu infrastrukturu.
Uočeno je da lanci napada koji koriste ovu tehniku isporučuju koktel familija zlonamjernog softvera kao što su AsyncRAT, GuLoader, PureLogs Stealer, Remcos RAT, Venom RAT i XWorm.
Inicijalni vektor pristupa je phishing e-pošta koja sadrži ZIP arhivu, koja uključuje datoteku URL prečice koja vodi primaoca poruke do datoteke prečice za Windows koja se nalazi na WebDAV serveru sa proksimom TryCloudflare.
Fajl prečice, zauzvrat, izvršava sljedeću fazu batch skripte odgovorne za pronalaženje i izvršavanje dodatnih Python korisnih opterećenja, dok istovremeno prikazuje lažni PDF dokument koji se nalazi na istom WebDAV serveru kako bi se nastavila lukavština.
“Ove skripte su izvršavale radnje poput pokretanja lažnih PDF-ova, preuzimanja dodatnog zlonamjernog sadržaja i mijenjanja atributa fajla kako bi se izbjegla detekcija”, napominje eSentire.
“Ključni element njihove strategije bio je korištenje direktnih sistemskih poziva za zaobilaženje alata za nadzor sigurnosti, dešifriranje slojeva shell koda i implementacija Early Bird APC ubrizgavanja reda kako bi se tajno izvršio kod i efikasno izbjegla detekcija.”
Prema Proofpoint-u, mamci za krađu identiteta su napisani na engleskom, francuskom, španskom i njemačkom jeziku, s obimom e-pošte u rasponu od stotina do desetina hiljada poruka koje ciljaju organizacije iz cijelog svijeta. Teme pokrivaju širok raspon tema kao što su fakture, zahtjevi za dokumentima, isporuka paketa i porezi.
Kampanja, iako je pripisana jednom klasteru povezanih aktivnosti, nije povezana s određenim hakerom ili grupom, ali je dobavljač sigurnosti e-pošte procijenio da je finansijski motivisana.
Eksploatacija TryCloudflarea u zlonamjerne svrhe prvi put je zabilježena prošle godine, kada je Sysdig otkrio kampanju kriptojackinga i proxyjackinga nazvanu LABRAT koja je naoružavala sada zakrpljenu kritičnu grešku u GitLabu kako bi se infiltrirala na mete i prikrila njihove servere za komandu i kontrolu (C2) koristeći Cloudflare. tuneli.
Dalje, upotreba WebDAV-a i Server Message Block (SMB) za postavljanje i isporuku korisnog tereta zahtijeva da preduzeća ograniče pristup eksternim uslugama za dijeljenje datoteka samo na poznate servere sa liste dozvoljenih.
“Upotreba Cloudflare tunela pruža hakerimai način da koriste privremenu infrastrukturu za skaliranje svojih operacija, pružajući fleksibilnost za izgradnju i uklanjanje instanci na vrijeme,” rekli su istraživači Proofpointa Joe Wise i Selena Larson.
“To otežava branioce i tradicionalne sigurnosne mjere kao što je oslanjanje na statične liste blokiranja. Privremene Cloudflare instance omogućavaju napadačima jeftin metod za insceniranje napada pomoću pomoćnih skripti, sa ograničenom izloženošću za otkrivanje i uklanjanje.”
Nalazi su došli kada je projekat Spamhaus pozvao Cloudflare da preispita svoje politike protiv zloupotrebe nakon eksploatacije njegovih usluga od strane cyber kriminalaca kako bi prikrili zlonamjerne radnje i poboljšali svoju operativnu sigurnost pomoću onoga što se naziva “uslugama od povjerenja” (LoTS) .
Navodi se da “promatra zlonamjernike koji premještaju svoje domene, koje su već navedene u DBL-u, na Cloudflare kako bi prikrili pozadinu svog rada, bilo da se radi o domenima s neželjenom e-poštom, phishing-u ili još gore.”
izvor:The Hacker News