- Seit Februar 2024 beobachtete Cyberkriminalitätsaktivitäten haben TryCloudflare Tunnel zum Verteilen von Malware missbraucht; die Aktivitäten nahmen von Mai bis Juli zu, und die jüngsten Kampagnen führten überwiegend zu Xworm
- Die Angriffe folgen einem Ablauf, bei dem per URL oder Anhang in E-Mails zu .URL-Dateien geleitet wird, die dann über WebDAV, LNK/VBS, BAT/CMD sowie Python-Installationspakete und Skripte zur Installation eines RAT führen
- Im Juni und Juli war der Anteil von Xworm besonders hoch, doch in früheren Kampagnen wurden auch AsyncRAT, VenomRAT, GuLoader und Remcos eingesetzt; einige Python-Skripte installierten mehrere Payloads getrennt voneinander
- Die Kampagnen umfassten einige Hundert bis Zehntausende Nachrichten und betrafen weltweit Dutzende bis Tausende Organisationen; genutzt wurden geschäftsbezogene Köder wie Rechnungen, Dokumentenanfragen, Lieferungen und Steuern sowie mehrere Sprachen
- Die temporäre Cloudflare-Infrastruktur und das Python-Bundling erschweren Blockierung und Takedown, doch bis zur finalen Ausführung sind mehrfach Benutzerinteraktionen wie Linkklicks, Dateiausführung und Entpacken erforderlich
Missbrauch von TryCloudflare Tunnel
- Bei dieser Aktivität handelt es sich um einen Cyberkriminalitäts-Cluster, der Cloudflare Tunnels als Infrastruktur zur Malware-Zustellung nutzt
- Die von den Angreifern missbrauchte Funktion ist TryCloudflare, mit der sich ohne Kontoerstellung einmalige Tunnel erzeugen lassen
- Tunnel funktionieren ähnlich wie VPN oder SSH und ermöglichen den Fernzugriff auf Daten und Ressourcen außerhalb des lokalen Netzwerks
- Bei jeder Nutzung von TryCloudflare Tunnel wird eine zufällige Subdomain von
trycloudflare[.]comerzeugt- Beispiel:
ride-fatal-italic-information[.]trycloudflare[.]com - Der Traffic dieser Subdomain wird über Cloudflare an den lokalen Server des Betreibers weitergeleitet
- Beispiel:
- Der Missbrauch von TryCloudflare Tunnel wurde ab 2023 breit genutzt und nimmt unter cyberkriminellen Bedrohungsakteuren weiter zu
Angriffskette und Payloads
- In den meisten Kampagnen führen URLs oder Anhänge in Nachrichten zu Internetverknüpfungen vom Typ .URL-Datei
- Wird die .URL ausgeführt, verbindet sie sich mit externer Dateifreigabe und lädt eine LNK- oder VBS-Datei herunter
- Die externe Dateifreigabe nutzt üblicherweise WebDAV
- In einigen Fällen wird für das Staging von Dateien über den search-ms-Protokoll-Handler eine LNK-Datei aus einer WebDAV-Freigabe geladen
- Anschließend führen LNK/VBS-Dateien BAT- oder CMD-Dateien aus, die Python-Installationspakete und mehrere Python-Skripte herunterladen und so zur Installation der Malware führen
- Häufig wird zusätzlich ein harmloses PDF angezeigt, damit der Nutzer die Aktivität für ein legitimes Dokument hält
- Fast alle im Juni und Juli beobachteten Kampagnen lieferten Xworm aus
- In früheren Kampagnen wurden auch AsyncRAT, VenomRAT, GuLoader und Remcos ausgeliefert
- Einige Kampagnen führten zu mehreren bösartigen Payloads, wobei jedes Python-Skript andere Malware installierte
Umfang der Kampagnen und Köder
- Der Umfang der Kampagnennachrichten reichte von einigen Hundert bis zu Zehntausenden
- Die Auswirkungen betrafen weltweit Dutzende bis Tausende Organisationen
- Als Ködersprachen wurden neben Englisch auch Französisch, Spanisch und Deutsch beobachtet
- Xworm-, AsyncRAT- und VenomRAT-Kampagnen liefen in der Regel in größerem Maßstab als Kampagnen zur Verteilung von Remcos oder GuLoader
- Die Köderthemen konzentrierten sich auf Inhalte, die im geschäftlichen Kontext wahrscheinlich geöffnet werden
- Rechnungen
- Dokumentenanfragen
- Lieferungen
- Steuern
Taktische Veränderungen und Umgehung der Erkennung
- Die Taktiken, Techniken und Verfahren der Kampagnen blieben insgesamt konsistent, doch die Angreifer änderten Teile der Angriffskette, um Raffinesse und Umgehung von Schutzmaßnahmen zu erhöhen
- In frühen Kampagnen waren die Hilfsskripte kaum oder gar nicht verschleiert
- Die Skripte enthielten sogar Kommentare, die die Codefunktionen detailliert beschrieben
- Seit Juni 2024 wurde Verschleierung in den Code aufgenommen
- Diese Aktivität wurde keinem bestimmten verfolgten Bedrohungsakteur zugeschrieben; sie wird anhand der TTPs der zugehörigen Kampagnen als ein Aktivitäts-Cluster zusammengefasst
Kampagne vom 28. Mai 2024
- Die Kampagne vom 28. Mai 2024 verteilte AsyncRAT und Xworm
- Nachrichten zum Thema Steuern enthielten eine URL, die zu einer komprimierten .URL-Datei führte
- Ziele waren Organisationen aus den Bereichen Recht und Finanzen; die Gesamtzahl der Nachrichten lag unter 50
- Die .URL-Datei verwies auf eine entfernte .LNK-Datei
- Bei Ausführung rief ein CMD-Hilfsskript PowerShell auf, um ein komprimiertes Python-Paket und Python-Skripte herunterzuladen
- Das Python-Paket und die Skripte führten zur Installation von AsyncRAT und Xworm
Kampagne vom 11. Juli 2024
- Auch die Kampagne vom 11. Juli 2024 nutzte Cloudflare-Tunnel, um AsyncRAT und Xworm zu verteilen
- Die Kampagne umfasste mehr als 1.500 Nachrichten und zielte auf Organisationen in verschiedenen Branchen wie Finanzen, Fertigung und Technologie
- Die Nachrichten enthielten HTML-Anhänge mit einer search-ms-Abfrage, die auf LNK-Dateien verwies
- Bei Ausführung führte dies zu einer verschleierten BAT-Datei, die PowerShell aufrief, um Python-Installationspakete und Skripte herunterzuladen
- Die heruntergeladenen Komponenten führten zur Ausführung von AsyncRAT und Xworm
Wichtige Punkte aus Sicht der Verteidigung
- Cloudflare-Tunnel ermöglichen es Angreifern, mit temporärer Infrastruktur ihre Aktivitäten zu skalieren und Instanzen schnell zu erstellen und wieder abzuschalten
- Temporäre Cloudflare-Instanzen erschweren traditionelle Sicherheitsmaßnahmen und Verteidiger, die auf statische Sperrlisten angewiesen sind
- Der auf Python-Skripten basierende Zustellungsweg verdient besondere Aufmerksamkeit
- Werden Python-Bibliotheken und ausführbare Installer zusammen mit Python-Skripten gebündelt, kann Malware auch auf Hosts heruntergeladen und ausgeführt werden, auf denen Python nicht vorinstalliert ist
- Organisationen, die Python nicht für die persönliche Arbeit benötigen, sollten die Nutzung von Python einschränken
- Die Zustellung von Softwarepaketen zusammen mit Schaddateien ist nicht neu
- Kürzlich wurden in Java-basierten Malware-Kampagnen Fälle beobachtet, in denen innerhalb einer ZIP-Datei sowohl ein JAR als auch eine Java Runtime Environment enthalten waren, damit die notwendige Software vor Ausführung des Downloaders oder Droppers installiert wird
- Für die Ausführung der finalen Payload ist erhebliche Interaktion des Opfers nötig
- Klicken auf einen schädlichen Link
- Doppelklick auf mehrere Dateien wie LNK oder VBS
- Entpacken komprimierter Skripte
- Dieser Ablauf bietet Empfängern mehrfach die Gelegenheit, verdächtige Aktivitäten zu erkennen und die Angriffskette zu unterbrechen
- Es gibt zunehmend mehr Bedrohungsakteure, die WebDAV und Server Message Block (SMB) für Payload-Staging und Zustellung verwenden
- Organisationen sollten den Zugriff auf externe Dateifreigabedienste nur auf bekannte Allowlist-Server beschränken
Erkennungsregeln und Indicators of Compromise
- Das Emerging Threats ruleset enthält Erkennungen für die in dieser Kampagne identifizierte Malware
- Beispielregeln:
2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes (Client)2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed
- Beispielhafte Indicators of Compromise:
spectrum-exactly-knitting-rural[.]trycloudflare[.]com: TryCloudflare-Host, erstmals im Mai 2024 beobachtet157[.]20[.]182[.]172: Xworm-C2-IP, erstmals im Mai 2024 beobachtetdcxwq1[.]duckdns[.]org: AsyncRAT-C2, erstmals im Mai 2024 beobachtetride-fatal-italic-information[.]trycloudflare[.]com: TryCloudflare-Host, erstmals im Juli 2024 beobachtettodfg[.]duckdns[.]org: AsyncRAT-C2, erstmals im Juli 2024 beobachtetwelxwrm[.]duckdns[.]org: Xworm-C2, erstmals im Juli 2024 beobachtetxwor3july[.]duckdns[.]org: Xworm-C2, erstmals im Juli 2024 beobachtet
1 Kommentare
Meinungen auf Hacker News
Die Zeiten, in denen Malware von verdächtigen
.ru-Domains oder den exponierten IPs von Bulletproof-Hosting-Anbietern verteilt wurde, sind längst vorbei.Angreifer nutzen inzwischen ebenfalls Infrastruktur, die alle verwenden, wie GCP, AWS, Azure, Cloudflare, und greifen über dieselben VPNs auf Geräte zu, die auch eure Großeltern verwenden, um Netflix zu schauen.
Das Internet bewegt sich zunehmend in ein Modell, in dem IP-Adressen und Domainnamen als Sicherheitsindikatoren nutzlos werden. Man kann weder Cloudflare- oder AWS-Netzbereiche blockieren noch Nutzer großer kommerzieller VPNs einfach von einer Website aussperren.
Außerdem sind Traffic und Namensauflösung verschlüsselt, sodass Netzwerkbetreiber nicht wissen können, was Nutzer im Internet tun.
Das ist eine gute Entwicklung, weil sie Privatsphäre und Anonymität erhöht, den Nutzen von Netzwerksicherheitslösungen verringert, Netzwerke dadurch wieder einfacher macht und Verhärtung verhindert, und weil sie dazu zwingt, grundlegende Sicherheitsprobleme anzugehen statt eine ineffiziente Maulwurfjagd-Industrie zu betreiben.
Vor Kurzem musste ich die Tumblrlog-Backend-Software reparieren, die mit
yt-dlpReddit-Videos herunterlädt, weil Reddit IP-Bereiche dedizierter Hetzner-Server blockiert hatte.Am Ende habe ich es umgangen, indem Videos per JavaScript auf dem Client heruntergeladen und dann auf meinen Server hochgeladen werden.
Einige Websites tun das bereits, und ich prüfe es ebenfalls.
Auch das Abrufen einer Liste von TOR-Exit-Node-IPs, um TOR zu blockieren, ist praktikabel; durch das Blockieren von TOR haben wir viele Probleme mit böswilligen Akteuren reduziert.
Das gilt besonders, wenn es nicht um Bereiche wie Urheberrecht geht, die großen Unternehmen konkret Unannehmlichkeiten bereiten. Wenn man auch mit Mainstream-Anbietern straflos davonkommt, gibt es keinen Grund, Bulletproof-Hosting oder verdächtige Registrare zu nutzen.
Im schlimmsten Fall wird das gesamte Internet wie Facebook: Schon um irgendetwas anzusehen, braucht man ein Konto, das sich nicht von der realen Identität trennen lässt.
Ich werde langsam müde von Schlagzeilen über die „Auslieferung“ von Malware über Dinge wie Link-Shortener.
Es ist nicht überraschend, dass Menschen Dateien auf verschiedene Arten ins Internet stellen können.
Das endgültige Ziel bleibt sowohl dem Nutzer als auch dem Security-Stack des Unternehmens vollständig verborgen.
Wenn Cloudflare sich als Sicherheitsprodukt verkaufen will, finde ich es nicht überzogen zu erwarten, dass sie ihren eigenen Dienst auf Malware überwachen.
Cloudflare nur als Komplizen hinzustellen, verfehlt das größere Bild.
Früher musste man unter Windows Autorun deaktivieren, um sich nicht zufällig über ein bösartiges Laufwerk zu infizieren, aber niemand machte die Hersteller von CD-RWs oder Flash-Laufwerken dafür verantwortlich.
Wenn ich eindeutiges Phishing und Malware-Hosting gemeldet habe, habe ich glaube ich nie gesehen, dass tatsächlich etwas unternommen wurde.
Ursprünglich war „Iss nichts, was du nicht identifizieren kannst“ ein guter Rat, aber irgendwann wurde daraus verdreht: „Sieh dir nichts an, was du nicht identifizieren kannst.“
Trotzdem behandelt man Nutzer so, als seien sie dumm, wenn sie diesen Rat nicht befolgen, wodurch sie leicht nicht mehr wissen, wie eine echte Bedrohung aussieht.
Besser wäre es, wenn alle Links sicher anklickbar wären und man nur gefährliche Aktionen wie Ausführen vermeiden müsste.
Dann könnte man Gefundenes als bedrohlich oder vertrauenswürdig markieren und damit auch Kollegen helfen.
Über den Missbrauch dieses Tools habe ich schon vor ziemlich genau einem Jahr geschrieben[0].
Neu scheint hier nur zu sein, was über den Tunnel gemacht wird, und dass diese Methode offenbar erfolgreich genug ist, um einen größeren Anteil an der gesamten Angriffstechnik einzunehmen.
Meiner Meinung nach ist TryCloudflare das eigentliche Problem.
Es ist überhaupt kein Konto nötig, wodurch Zuordnung und Nachverfolgung fast unmöglich werden.
0: https://www.guidepointsecurity.com/blog/tunnel-vision-cloudf...
Ich vermute, kostenlose Instant-Tunnel-Produkte enden letztlich alle so.
Auch ngrok war anfangs für reibungsloses Tunneling großartig, musste aber wegen derselben Art von Missbrauch am Ende alles hinter einen Registrierungs-Flow packen.
Wenn man kostenlose Ende-zu-Ende-Verschlüsselung ohne an Nutzer gebundene Verantwortlichkeit anbietet, lädt man Missbrauch geradezu ein.
Wenn es kein Cloudflare-Tunnel ist, läuft es eben darauf hinaus, jemanden zu bitten, eine Webseite mit Payload in der URL über Google Translate zu öffnen.
Das ist schwerlich eine Nachricht wert.
Genau so kommt es wohl, dass wir im Internet keine schönen Dinge haben können — hier also die guten Funktionen von Cloudflare.
Wusstet ihr, dass man über Cloudflare kostenlos E-Mails versenden konnte? (https://blog.cloudflare.com/sending-email-from-workers-with-...)
Jetzt geht das nicht mehr.
Die Einstellung war nicht unbedingt Cloudflares Schuld, aber es ist ein ähnliches Beispiel dafür, dass ein guter Dienst missbraucht wurde und verschwand.
Vor langer Zeit hatte Cloudflare eine Funktion, mit der man CSS und HTML für benutzerdefinierte Fehlerseiten „vorab anzeigen“ konnte.
Im Grunde nahm die Vorschaufunktion CSS und HTML aus dem Query-String und zeigte sie unverändert unter
cloudflarepreview.com/...an.Ich meldete das und zeigte, dass man damit sehr leicht eine Seite wie „Melden Sie sich mit Ihrem Cloudflare-Konto an, um auf die Cloudflare-Beta-Vorschau zuzugreifen!“ erstellen und Cloudflare-Login-Daten stehlen konnte.
Das Bug-Bounty-Ticket wurde mit der Begründung geschlossen, dies sei „aufgrund der Natur des cloudflarepreview-Playgrounds akzeptiert“, und später wurde es durch das Hinzufügen eines JWT-Tokens zur URL behoben, aber eine Belohnung gab es nicht.
Ich war lange Cloudflare-Kunde, aber in den Produkten scheint es viele dunkle Ecken zu geben, denen kaum Aufmerksamkeit geschenkt wird, bis sie missbraucht werden, und ich vermute, dass auch TryCloudflare eine davon ist.
Wenn man sich das Problem ansieht, dass „niemand genug Geld für Moderation und Missbrauchsbekämpfung ausgeben will“, frage ich mich, was eigentlich aus der Idee eines dezentralen Netzwerks von Vertrauen und Misstrauen für Online-Identitäten aus der frühen PGP-Ära geworden ist.
Heute existiert davon nur noch ein wenig in Form von Social-Media-Konten, denen anhand von Follower-Zahlen, den Followern der Follower und endlosen Bots darunter „vertraut“ wird, oder in Form von PageRank und der Ausnutzung von Suchmaschinenoptimierung.
Ich frage mich, ob diese Art von Angriff von dem berüchtigten Endpoint-Security-Programm erkannt worden wäre, etwa von ClownStrike.
Vermutlich würde dieser Traffic nur auffallen, wenn der Angreifer so ungeschickt ist, einen bekannten Remote-Access-Trojaner wiederzuverwenden.
exe-Dateien blockiert wird.Ob der Angreifer eine bereits bekannte bösartige ausführbare Datei verwendet, spielt dann keine Rolle.
Das erinnert mich an die Zeit, als überall AOL-Disketten für kostenlose Testkonten herumlagen.
In vielen Communities wurden AOL-Subdomains sofort blockiert.
*.ipt.aol.commusste blockiert werden.Ein AOL-Nutzer hatte nämlich Reverse DNS in der Form
HOST.ipt.aol.comgenutzt, um Sperren zu umgehen, und damit allen geschadet.Die Prodigy-/CompuServe-/Blue-Light-Generation ist auch noch hier.