Tội phạm lạm dụng đường hầm Cloudflare để tránh sự phát hiện và phát tán mã độc

Tác giả AI+, T.Tám 02, 2024, 08:23:29 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Các công ty an ninh mạng đang cảnh báo về sự gia tăng lạm dụng dịch vụ miễn phí TryCloudflare của Clouflare để phát tán phần mềm độc hại.

Hoạt động này được ghi lại bởi cả eSentire và Proofpoint, yêu cầu sử dụng TryCloudflare để tạo đường hầm dùng một lần hoạt động như một ống dẫn để chuyển tiếp lưu lượng truy cập từ máy chủ do kẻ tấn công kiểm soát đến máy cục bộ thông qua cơ sở hạ tầng của Cloudflare.


Các chuỗi tấn công lợi dụng kỹ thuật này đã được quan sát thấy cung cấp một loạt các họ phần mềm độc hại như AsyncRAT, GuLoader, PureLogs Stealer, Remcos RAT, Venom RAT và XWorm.

Vectơ truy cập ban đầu là một email lừa đảo chứa kho lưu trữ ZIP, bao gồm tệp lối tắt URL dẫn người nhận thư đến tệp lối tắt Windows được lưu trữ trên máy chủ WebDAV được ủy quyền của TryCloudflare.

Ngược lại, tệp lối tắt sẽ thực thi các tập lệnh bó giai đoạn tiếp theo chịu trách nhiệm truy xuất và thực thi các tải trọng Python bổ sung, đồng thời hiển thị tài liệu PDF giả được lưu trữ trên cùng một máy chủ WebDAV để theo kịp mưu mẹo.

eSentire lưu ý: "Các tập lệnh này đã thực thi các hành động như khởi chạy các tệp PDF giả, tải xuống các tải trọng độc hại bổ sung và thay đổi thuộc tính tệp để tránh bị phát hiện".

"Một yếu tố quan trọng trong chiến lược của họ là sử dụng các cuộc gọi chung trực tiếp để vượt qua các công cụ giám sát bảo mật, giải mã các lớp shellcode và triển khai tính năng chèn hàng đợi APC Early Bird để lén lút thực thi mã và tránh bị phát hiện một cách hiệu quả."


Theo Proofpoint, các mồi nhử lừa đảo được viết bằng tiếng Anh, tiếng Pháp, tiếng Tây Ban Nha và tiếng Đức, với khối lượng email từ hàng trăm đến hàng chục nghìn thư nhắm mục tiêu vào các tổ chức trên khắp thế giới. Các chủ đề bao gồm nhiều chủ đề như hóa đơn, yêu cầu tài liệu, giao hàng và thuế.

Chiến dịch này, mặc dù được cho là thuộc một nhóm hoạt động liên quan, nhưng chưa được liên kết với một tác nhân hoặc nhóm đe dọa cụ thể, nhưng nhà cung cấp bảo mật email đánh giá nó có động cơ tài chính.

Việc khai thác TryCloudflare cho các mục đích độc hại lần đầu tiên được ghi nhận vào năm ngoái, khi Sysdig phát hiện ra một chiến dịch tấn công tiền điện tử và proxyjacking có tên là LABRAT, vũ khí hóa một lỗ hổng nghiêm trọng hiện đã được vá trong GitLab để xâm nhập vào các mục tiêu và che giấu các máy chủ chỉ huy và kiểm soát (C2) của họ bằng cách sử dụng Cloudflare. đường hầm.

Hơn nữa, việc sử dụng WebDAV và Khối tin nhắn máy chủ (SMB) để dàn dựng và phân phối tải trọng đòi hỏi các doanh nghiệp phải hạn chế quyền truy cập vào các dịch vụ chia sẻ tệp bên ngoài đối với các máy chủ đã biết, được liệt kê cho phép.

Các nhà nghiên cứu của Proofpoint Joe Wise và Selena Larson cho biết: "Việc sử dụng đường hầm Cloudflare cung cấp cho các tác nhân đe dọa một cách sử dụng cơ sở hạ tầng tạm thời để mở rộng quy mô hoạt động của chúng, mang lại sự linh hoạt trong việc xây dựng và gỡ bỏ các phiên bản một cách kịp thời".


"Điều này gây khó khăn hơn cho những người bảo vệ và các biện pháp bảo mật truyền thống như dựa vào danh sách chặn tĩnh. Các phiên bản Cloudflare tạm thời cho phép kẻ tấn công sử dụng một phương pháp chi phí thấp để thực hiện các cuộc tấn công bằng tập lệnh trợ giúp, với mức độ tiếp xúc hạn chế đối với các nỗ lực phát hiện và gỡ bỏ."

Các phát hiện này được đưa ra khi Dự án Spamhaus kêu gọi Cloudflare xem xét các chính sách chống lạm dụng sau khi tội phạm mạng khai thác các dịch vụ của họ để che giấu các hành động độc hại và tăng cường bảo mật hoạt động của chúng bằng cái gọi là "dịch vụ sống nhờ tin cậy" (LoTS).

Nó cho biết họ "quan sát thấy những kẻ có hành vi sai trái đang di chuyển các tên miền của họ, đã được liệt kê trong DBL, sang Cloudflare để ngụy trang phần phụ trợ cho hoạt động của họ, có thể là các tên miền bị spam, lừa đảo hoặc tệ hơn."