Actor de amenazas abusa de túneles de Cloudflare para distribuir RAT
(proofpoint.com)- Una actividad ciberdelictiva observada desde febrero de 2024 abusó de TryCloudflare Tunnel para distribuir malware; la actividad aumentó entre mayo y julio, y las campañas recientes derivan en su mayoría en Xworm
- El ataque sigue un flujo en el que URLs o adjuntos en correos llevan a archivos .URL y luego, a través de WebDAV, LNK/VBS, BAT/CMD, paquetes de instalación de Python y scripts, instala un RAT
- En junio y julio predominó Xworm, pero en campañas anteriores también se usaron AsyncRAT, VenomRAT, GuLoader y Remcos; algunos scripts de Python instalan varias cargas útiles por separado
- Las campañas van de cientos a decenas de miles de mensajes y afectaron a decenas o miles de organizaciones en todo el mundo; se usaron señuelos de tipo laboral como facturas, solicitudes de documentos, envíos e impuestos, además de varios idiomas
- La infraestructura temporal de Cloudflare y el empaquetado con Python dificultan el bloqueo y el takedown, pero para llegar a la ejecución final se requieren varias instancias de interacción del usuario, como hacer clic en enlaces, ejecutar archivos y descomprimir contenido
Forma de abuso de TryCloudflare Tunnel
- Esta actividad corresponde a un clúster ciberdelictivo que usa Cloudflare Tunnels como infraestructura de entrega de malware
- La función abusada por los atacantes es TryCloudflare, que permite crear túneles de un solo uso sin crear una cuenta
- Los túneles funcionan como una forma de acceder de manera remota a datos y recursos fuera de una red local, similar a una VPN o SSH
- Cada vez que se usa TryCloudflare Tunnel, se genera un subdominio aleatorio de
trycloudflare[.]com- Ejemplo:
ride-fatal-italic-information[.]trycloudflare[.]com - El tráfico de ese subdominio se proxyfica a través de Cloudflare hacia el servidor local del operador
- Ejemplo:
- El abuso de TryCloudflare Tunnel empezó a usarse ampliamente en 2023 y es una tendencia creciente entre los actores de amenazas ciberdelictivos
Cadena de ataque y cargas útiles
- La mayoría de las campañas hacen que una URL dentro del mensaje o un archivo adjunto lleve a un archivo de acceso directo de Internet .URL
- Cuando se ejecuta el .URL, se conecta a un recurso compartido externo para descargar un archivo LNK o VBS
- El recurso compartido externo normalmente usa WebDAV
- Parte del staging de archivos usa el manejador de protocolo search-ms para obtener un LNK desde un recurso compartido WebDAV
- Luego, el LNK/VBS ejecuta un archivo BAT o CMD, que descarga un paquete de instalación de Python y varios scripts de Python, lo que lleva a la instalación del malware
- Es común que se muestre también un PDF benigno para que el usuario lo confunda con un documento legítimo
- Casi todas las campañas observadas en junio y julio entregaban Xworm
- En campañas anteriores también se entregaron AsyncRAT, VenomRAT, GuLoader y Remcos
- Algunas campañas derivan en varias cargas maliciosas, y cada script de Python instala un malware distinto
Escala de las campañas y señuelos
- El volumen de mensajes de las campañas varía desde cientos hasta decenas de miles
- El alcance del impacto cubre desde decenas hasta miles de organizaciones en todo el mundo
- Además de inglés, se observaron señuelos en francés, español y alemán
- Las campañas de Xworm, AsyncRAT y VenomRAT generalmente se ejecutaron a mayor escala que las campañas de entrega de Remcos o GuLoader
- Los temas de los señuelos se concentran en materiales con alta probabilidad de ser abiertos en un contexto laboral
- Facturas
- Solicitudes de documentos
- Envíos
- Impuestos
Cambios tácticos y evasión de detección
- Aunque las tácticas, técnicas y procedimientos de las campañas son en general consistentes, los atacantes intentan cambiar partes de la cadena de ataque para aumentar la sofisticación y la evasión de defensas
- Los scripts auxiliares de las campañas iniciales tenían poca o ninguna ofuscación
- Los scripts también incluían comentarios que explicaban en detalle la funcionalidad del código
- Desde junio de 2024, el código empezó a incluir ofuscación
- Esta actividad no fue atribuida a ningún actor de amenazas específico bajo seguimiento, y se agrupa como un único clúster de actividad con base en las TTP de las campañas relacionadas
Campaña del 28 de mayo de 2024
- La campaña del 28 de mayo de 2024 entregó AsyncRAT y Xworm
- Los mensajes con temática de impuestos incluían una URL, y esa URL llevaba a un archivo .URL comprimido
- Los objetivos fueron organizaciones legales y financieras, y el total de mensajes fue inferior a 50
- El archivo .URL apuntaba a un archivo .LNK remoto
- Al ejecutarse, un script auxiliar CMD invocaba PowerShell para descargar un paquete de Python comprimido y scripts de Python
- El paquete de Python y los scripts derivaban en la instalación de AsyncRAT y Xworm
Campaña del 11 de julio de 2024
- La campaña del 11 de julio de 2024 también usó túneles de Cloudflare para distribuir AsyncRAT y Xworm
- La campaña incluyó más de 1,500 mensajes y apuntó a organizaciones de varios sectores, como finanzas, manufactura y tecnología
- Los mensajes incluían un adjunto HTML con una consulta search-ms que apuntaba a un archivo LNK
- Al ejecutarse, derivaba en un archivo BAT ofuscado, que invocaba PowerShell para descargar el paquete de instalación de Python y los scripts
- Los componentes descargados derivaban en la ejecución de AsyncRAT y Xworm
Puntos importantes para la defensa
- Los túneles de Cloudflare permiten a los atacantes usar infraestructura temporal para escalar sus operaciones y crear y eliminar instancias rápidamente
- Las instancias temporales de Cloudflare crean condiciones más difíciles para los defensores y para las medidas de seguridad tradicionales que dependen de listas de bloqueo estáticas
- El método de entrega basado en scripts de Python requiere atención especial
- Al empaquetar bibliotecas de Python e instaladores ejecutables junto con scripts de Python, es posible descargar y ejecutar malware incluso en hosts que no tienen Python instalado previamente
- Las organizaciones que no necesitan Python para sus tareas deben restringir su uso
- Esta no es la primera vez que se entregan paquetes de software junto con archivos maliciosos
- Recientemente, en campañas de malware basado en Java se observaron casos en los que un JAR y Java Runtime Environment se incluían juntos dentro de un ZIP para que el software necesario se instalara antes de ejecutar un downloader o dropper
- La ejecución de la carga útil final requiere una interacción considerable de la víctima
- Hacer clic en un enlace malicioso
- Hacer doble clic en varios archivos como LNK o VBS
- Descomprimir scripts comprimidos
- Este proceso ofrece al destinatario varias oportunidades para identificar actividad sospechosa e interrumpir la cadena de ataque
- Cada vez más actores de amenazas usan WebDAV y Server Message Block (SMB) para staging y entrega de cargas útiles
- Las organizaciones deben restringir el acceso a servicios externos de intercambio de archivos únicamente a servidores en lista de permitidos conocidos
Reglas de detección e indicadores de compromiso
- El Emerging Threats ruleset incluye detecciones de malware identificadas en esta campaña
- Reglas de ejemplo:
2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes (Client)2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed
- Ejemplos de indicadores de compromiso:
spectrum-exactly-knitting-rural[.]trycloudflare[.]com: host TryCloudflare, observado por primera vez en mayo de 2024157[.]20[.]182[.]172: IP C2 de Xworm, observada por primera vez en mayo de 2024dcxwq1[.]duckdns[.]org: C2 de AsyncRAT, observado por primera vez en mayo de 2024ride-fatal-italic-information[.]trycloudflare[.]com: host TryCloudflare, observado por primera vez en julio de 2024todfg[.]duckdns[.]org: C2 de AsyncRAT, observado por primera vez en julio de 2024welxwrm[.]duckdns[.]org: C2 de Xworm, observado por primera vez en julio de 2024xwor3july[.]duckdns[.]org: C2 de Xworm, observado por primera vez en julio de 2024
1 comentarios
Comentarios en Hacker News
La época en que el malware se distribuía desde dominios
.rusospechosos o IP expuestas de proveedores de hosting blindado ya quedó atrásLos atacantes ahora también usan infraestructura que todo el mundo usa, como GCP, AWS, Azure y Cloudflare, y acceden a los dispositivos con las mismas VPN que usan tus abuelos para ver Netflix
Internet se está moviendo cada vez más hacia un modelo en el que las direcciones IP y los nombres de dominio dejan de servir como indicadores de seguridad, y no se puede bloquear rangos de Cloudflare o AWS ni tampoco es fácil bloquear en un sitio a usuarios de VPN comerciales populares
Además, tanto el tráfico como las consultas de nombres están cifrados, así que los operadores de red no pueden saber qué hace el usuario en internet
Es un buen cambio porque mejora la privacidad y el anonimato, reduce la utilidad de las soluciones de seguridad de red, vuelve a simplificar las redes y evita su rigidez, además de forzar a abordar problemas de seguridad de fondo en lugar de sostener una ineficiente industria de jugar al topo
Hace poco tuve que arreglar un software backend de un tumblelog que descargaba videos de Reddit con
yt-dlp, porque Reddit bloqueó los rangos IP de servidores dedicados de HetznerAl final lo evité haciendo que el cliente descargara el video con JavaScript y luego lo subiera a mi servidor
Algunos sitios ya lo hacen, y yo también lo estoy evaluando
Además, vale la pena traer la lista de IP de nodos de salida de TOR y bloquear TOR; gracias a bloquear TOR he reducido mucho los dolores de cabeza causados por actores maliciosos
En especial si no es un ámbito que incomode específicamente a grandes empresas, como los derechos de autor; si puedes evitar el castigo incluso usando proveedores convencionales, no hay razón para recurrir a hosting blindado o registradores sospechosos
En el peor caso, todo internet podría terminar como Facebook, donde incluso para solo ver algo necesitas una cuenta inseparable de tu identidad real
Ya me está cansando ver titulares sobre “entrega” de malware por medio de cosas como acortadores de enlaces
No debería sorprender que haya muchas maneras de subir archivos a internet
El destino final queda completamente oculto tanto para el usuario como para la pila de seguridad de la empresa
Si Cloudflare quiere venderse como un producto de seguridad, no me parece descabellado esperar que supervise el malware dentro de su propio servicio
Cargarle todo a Cloudflare como si fuera solo un cómplice hace que se pierda la imagen completa
Antes había que desactivar la ejecución automática en Windows para no infectarse por accidente con una unidad maliciosa, pero nadie culpaba a los fabricantes de CD-RW o memorias flash
Cuando he reportado phishing evidente y hosting de malware, no recuerdo haber visto que realmente tomaran medidas
Antes el buen consejo era “no comas lo que no puedas identificar”, y en algún momento eso se torció hasta convertirse en “no mires lo que no puedas identificar”
Y aun así, si no puedes seguir ese consejo, te tratan como si fueras un idiota, así que es fácil que los usuarios ni siquiera sepan cómo se ve una amenaza real
Una mejor forma sería hacer que todos los enlaces se pudieran abrir de forma segura, y que solo hiciera falta evitar acciones riesgosas como ejecutar algo
Así también podrías marcar lo que encuentres como amenazante o confiable para ayudar a tus colegas
Ya había escrito sobre el abuso de esta herramienta hace casi exactamente un año[0]
Lo único que aquí parece nuevo es qué hacen a través del túnel y que este método está teniendo suficiente éxito como para aumentar su peso dentro del conjunto de técnicas de ataque
En mi opinión, el verdadero problema es TryCloudflare
No requiere ninguna cuenta, así que rastrear la atribución se vuelve casi imposible
0: https://www.guidepointsecurity.com/blog/tunnel-vision-cloudf...
Da la impresión de que todos los productos gratuitos de túneles instantáneos terminan así
ngrok también empezó con ese tunneling sin fricción, pero por abusos del mismo tipo al final tuvo que poner todo detrás de un flujo de registro
Si ofreces cifrado de extremo a extremo gratis sin responsabilidad vinculada al usuario, estás invitando al abuso
Si no fuera con túneles de Cloudflare, sería pidiéndote abrir con Google Translate una página web con la carga útil metida en la URL
Cuesta verlo como noticia
Creo que esta es la razón por la que no podemos disfrutar cosas buenas en internet, en este caso las buenas funciones de Cloudflare
¿Sabías que antes se podían enviar correos gratis desde Cloudflare? (https://blog.cloudflare.com/sending-email-from-workers-with-...)
Ahora ya no se puede
Tal vez el cierre no fue culpa directa de Cloudflare, pero es un caso parecido de un buen servicio que desapareció por abuso
Hace mucho tiempo Cloudflare tenía una función para “previsualizar” el CSS y HTML que ibas a usar en páginas de error personalizadas
Básicamente, la función de vista previa tomaba el CSS y HTML incluidos en la cadena de consulta y los mostraba tal cual en
cloudflarepreview.com/...Cuando reporté esto, mostré que era facilísimo crear una página tipo “¡Inicia sesión con tu cuenta de Cloudflare para acceder a la vista previa beta de Cloudflare!” y robar credenciales de inicio de sesión de Cloudflare
El bug bounty se cerró diciendo que era “aceptable dadas las características del playground de cloudflarepreview”, y luego lo corrigieron agregando un token JWT en la URL, pero no hubo recompensa
Fui cliente de Cloudflare durante mucho tiempo, pero me parece que en el producto hay muchos rincones oscuros a los que nadie presta atención hasta que se abusan, y sospecho que este TryCloudflare es uno de ellos
Al ver este problema de que “nadie quiere gastar suficiente dinero en moderación y prevención de abuso”, me pregunto qué pasó con aquella idea de la era inicial de PGP sobre redes distribuidas de confianza y desconfianza para la identidad en línea
Ahora apenas sobrevive un poco en formas como cuentas de redes sociales “confiables” según la cantidad de seguidores, los seguidores de esos seguidores y los bots infinitos debajo, o en cosas como PageRank y el abuso del SEO
Me pregunto si este tipo de ataque lo habría detectado ese infame programa de seguridad de endpoints, por ejemplo ClownStrike
Parece que este tráfico solo se mostraría si el atacante fuera lo bastante novato como para reutilizar un troyano de acceso remoto ya conocido
exearbitrarioNo importa si el atacante usa o no un ejecutable malicioso ya conocido
Esto me recuerda la época en que andaban por todos lados los discos de cuentas de prueba gratis de AOL
En muchas comunidades, los subdominios de AOL se bloqueaban de inmediato
*.ipt.aol.comPorque algún usuario de AOL usó el DNS inverso
HOST.ipt.aol.compara evadir el bloqueo y perjudicó a todo el mundoTambién estamos aquí los de la generación de Prodigy / CompuServe / Blue Light