Bedrohungsakteur missbraucht Cloudflare Tunnels zur Verbreitung von Remote-Access-Trojanern

 (proofpoint.com)
2 Punkte von GN⁺ 2024-08-03 | 1 Kommentare | Auf WhatsApp teilen

Wichtige Erkenntnisse

  • Proofpoint hat eine Zunahme bei der Verbreitung von Malware beobachtet, die TryCloudflare Tunnel missbraucht
  • Diese Aktivität ist finanziell motiviert und verbreitet Remote-Access-Trojaner (RATs)
  • Seit der ersten Beobachtung haben die Angreifer ihre Taktiken, Techniken und Verfahren angepasst, um Erkennung zu vermeiden und die Effizienz zu erhöhen
  • Proofpoint ordnet diese Aktivität keinem bestimmten Bedrohungsakteur zu, die Untersuchungen dauern jedoch an

Überblick

Proofpoint verfolgt cyberkriminelle Aktivitäten, bei denen Cloudflare Tunnels zur Verbreitung von Malware missbraucht werden. Insbesondere nutzen die Angreifer die TryCloudflare-Funktion aus, mit der sich einmalige Tunnel ohne Kontoerstellung anlegen lassen. Tunnel ermöglichen wie VPN- oder SSH-Protokolle den Fernzugriff auf Daten und Ressourcen, die sich nicht im lokalen Netzwerk befinden. Dieser Cluster wurde erstmals im Februar 2024 beobachtet, die Aktivität nahm von Mai bis Juli zu, und in den letzten Monaten führten die meisten Kampagnen zu einem RAT namens Xworm. In den meisten Kampagnen verweisen Nachrichten mit URLs oder Anhängen auf Internet-Verknüpfungsdateien (.URL). Nach der Ausführung verbinden diese sich über WebDAV mit einer externen Dateifreigabe und laden LNK- oder VBS-Dateien herunter. Bei der Ausführung starten die LNK/VBS-Dateien BAT- oder CMD-Dateien, die Python-Installationspakete und eine Reihe von Python-Skripten herunterladen, um die Malware zu installieren. In einigen Fällen wird der search-ms-Protokoll-Handler verwendet, um in einer WebDAV-Freigabe nach LNK-Dateien zu suchen. Typischerweise zeigen die Kampagnen dem Nutzer ein harmloses PDF an, um legitim zu wirken.

Kampagnenbeispiele

AsyncRAT / Xworm-Kampagne vom 28. Mai 2024 Proofpoint beobachtete am 28. Mai 2024 eine Kampagne, die AsyncRAT und Xworm verbreitete. In dieser Kampagne verwiesen steuerbezogene Nachrichten auf ein Archiv mit einer URL-Datei. Die Kampagne richtete sich an Organisationen aus dem Rechts- und Finanzbereich und umfasste insgesamt weniger als 50 Nachrichten. Die URL-Datei verwies auf eine entfernte LNK-Datei. Nach der Ausführung rief ein CMD-Helferskript PowerShell auf, um ein komprimiertes Python-Paket und Python-Skripte herunterzuladen. Das Python-Paket und die Skripte führten zur Installation von AsyncRAT und Xworm.

AsyncRAT / Xworm-Kampagne vom 11. Juli 2024 Forscher beobachteten am 11. Juli 2024 eine weitere Kampagne, die Cloudflare-Tunnel nutzte, um AsyncRAT und Xworm zu verbreiten. Diese Kampagne umfasste mehr als 1.500 Nachrichten und richtete sich an Organisationen aus verschiedenen Branchen, darunter Finanzen, Fertigung und Technologie. In dieser Kampagne verwiesen HTML-Anhänge unter Einbindung einer search-ms-Abfrage auf LNK-Dateien. Nach der Ausführung riefen verschleierte BAT-Dateien PowerShell auf, um Python-Installationspakete und Skripte herunterzuladen und AsyncRAT sowie Xworm zu starten.

Zuordnung

Auf Basis der in den Kampagnen beobachteten Taktiken, Techniken und Verfahren (TTPs) bewertet Proofpoint dies als einen Cluster zusammenhängender Aktivitäten. Die Forscher haben diese Aktivität keinem bestimmten Bedrohungsakteur zugeordnet, die Untersuchungen dauern jedoch an.

Bedeutung

Die Nutzung von Cloudflare-Tunneln verschafft Angreifern die Flexibilität, ihre Operationen mit temporärer Infrastruktur zu skalieren. Das erschwert es Verteidigern und traditionellen Sicherheitsmaßnahmen, die auf statischen Sperrlisten beruhen. Temporäre Cloudflare-Instanzen bieten Angreifern eine kostengünstige Möglichkeit, Angriffe vorzubereiten und dabei die Gefahr der Erkennung und Entfernung zu minimieren. Bemerkenswert ist, dass die Angreifer Python-Skripte zur Verbreitung von Malware einsetzen. Wenn Python-Bibliotheken und Installer ausführbarer Dateien zusammen mit Python-Skripten gebündelt werden, kann Malware auch auf Hosts heruntergeladen und ausgeführt werden, auf denen Python zuvor nicht installiert war. Organisationen sollten die Nutzung von Python einschränken, wenn sie für die jeweilige Arbeitsfunktion nicht erforderlich ist. In den vergangenen Monaten hat Proofpoint zudem Kampagnen beobachtet, die Java-basierte Malware verbreiten, indem sie JAR-Dateien und eine Java Runtime Environment (JRE) in ZIP-Dateien einbetten, sodass nach Installation der nötigen Software Downloader oder Dropper ausgeführt werden. Die Angriffskette erfordert erhebliche Interaktion durch das Opfer, um die endgültige Payload auszuführen. Dadurch ergeben sich mehrere Gelegenheiten für Empfänger, verdächtige Aktivitäten zu erkennen und die Angriffskette zu unterbrechen.

Emerging-Threats-Signaturen

Das Emerging-Threats-Regelwerk enthält Regeln zur Erkennung der in dieser Kampagne identifizierten Malware. Beispiele:

  • 2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
  • 2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes
  • 2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes(Client)
  • 2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
  • 2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed

Beispielhafte Kompromittierungsindikatoren

Indikator Beschreibung Erstbeobachtung
spectrum-exactly-knitting-rural[.]trycloudflare[.]com Trycloudflare-Host Mai 2024
53c32ea384894526992d010c0c49ffe250d600b9b4472cce86bbd0249f88eada .URL SHA256 Mai 2024
a79fbad625a5254d4f7f39461c2d687a1937f3f83e184bd62670944462b054f7 LNK SHA256 Mai 2024
0f1118b30b2da0b6e82f95d9bbf87101d8298a85287f4de58c9655eb8fecd3c6 CMD SHA256 Mai 2024
157[.]20[.]182[.]172 Xworm C2 IP Mai 2024
dcxwq1[.]duckdns[.]org AsyncRAT C2 Mai 2024
a40f194870b54aeb102089108ecf18b3af9b449066a240f0077ff4edbb556e81 HTML SHA256 Juli 2024
3867de6fc23b11b3122252dcebf81886c25dba4e636dd1a3afed74f937c3b998 LNK SHA256 Juli 2024
ride-fatal-italic-information[.]trycloudflare[.]com Trycloudflare-Host Juli 2024
0fccf3d1fb38fa337baf707056f97ef011def859901bb922a4d0a1f25745e64f BAT SHA256 Juli 2024
todfg[.]duckdns[.]org AsyncRAT C2 Juli 2024
welxwrm[.]duckdns[.]org Xworm C2 Juli 2024
xwor3july[.]duckdns[.]org Xworm C2 Juli 2024

Zusammenfassung von GN⁺

  • Dieser Artikel behandelt die zunehmende Verbreitung von Malware durch den Missbrauch von Cloudflare-Tunneln
  • Die Angreifer nutzen Python-Skripte zur Verbreitung von Malware, was Erkennung und Entfernung erschwert
  • Organisationen sollten die Nutzung von Python einschränken und den Zugriff auf externe Dateifreigabedienste begrenzen
  • Andere Projekte mit ähnlichen Funktionen umfassen verschiedene Sicherheitslösungen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-08-03
Hacker-News-Kommentare

  • Die Zeiten, in denen Malware über verdächtige .ru-Domains oder IP-Adressen bereitgestellt wurde, sind vorbei

    • Heute nutzen Bedrohungsakteure Infrastrukturen wie GCP, AWS, Azure und Cloudflare
    • Auch bei VPNs verwenden sie dieselben Dienste wie normale Nutzer
    • IP-Adressen und Domainnamen sind als Sicherheitsindikatoren kaum noch nützlich
    • Sämtlicher Traffic und alle Namensauflösungen sind verschlüsselt, sodass Netzwerkbetreiber Internetaktivitäten nicht mehr erkennen können
    • Das verbessert Privatsphäre und Anonymität, reduziert ineffektive Netzwerksicherheitslösungen und zwingt dazu, grundlegende Sicherheitsprobleme zu lösen

  • Ich bin müde von Schlagzeilen über die Verbreitung von Malware über URL-Shortener

    • Es ist nicht überraschend, dass Menschen auf verschiedenste Weise Dateien im Internet hosten können

  • Der Grund, warum Cloudflares kostenloser E-Mail-Versanddienst eingestellt wurde, war Missbrauch

    • Wenn ein guter Dienst missbraucht wird, bleibt am Ende nur die Einstellung

  • Über Cloudflare Tunnel lassen sich Webseiten mit schädlichen Payloads hosten

    • Ich finde das nicht berichtenswert

  • Wenn alle kostenlosen Tunneling-Produkte missbraucht werden, werden sie am Ende kostenpflichtig

    • ngrok war anfangs ebenfalls bequem, musste aber wegen Missbrauchs einen Anmeldeprozess einführen

  • Ich habe vor einem Jahr über die böswillige Nutzung von TryCloudflare geschrieben

    • Da es ohne Konto genutzt werden kann, ist eine Nachverfolgung fast unmöglich

  • Es gab eine Schwachstelle in Cloudflares Vorschaufunktion für benutzerdefinierte Fehlerseiten

    • Damit konnten Login-Zugangsdaten abgegriffen werden
    • Es wurde durch das Hinzufügen eines JWT-Tokens behoben, aber es gab keine Bug-Bounty-Auszahlung
    • Ich vermute, dass TryCloudflare ein ähnliches Problem haben könnte

  • Ich frage mich, was aus der Idee eines dezentralen Vertrauensnetzwerks aus den frühen PGP-Zeiten geworden ist

    • Heute entsteht Vertrauen stattdessen auf Basis von Dingen wie der Follower-Zahl von Social-Media-Accounts

  • Ich frage mich, ob Endpoint-Security-Programme solche Angriffe erkennen können

    • Ich denke, sie werden nicht erkannt, solange der Angreifer kein bekanntes RAT wiederverwendet

  • Wenn ich den Ausdruck "I hope this message finds you well" sehe, gehen bei mir sofort die Spam-/Betrugsalarmglocken an