2 puntos por GN⁺ 2024-08-03 | 1 comentarios | Compartir por WhatsApp
  • Una actividad ciberdelictiva observada desde febrero de 2024 abusó de TryCloudflare Tunnel para distribuir malware; la actividad aumentó entre mayo y julio, y las campañas recientes derivan en su mayoría en Xworm
  • El ataque sigue un flujo en el que URLs o adjuntos en correos llevan a archivos .URL y luego, a través de WebDAV, LNK/VBS, BAT/CMD, paquetes de instalación de Python y scripts, instala un RAT
  • En junio y julio predominó Xworm, pero en campañas anteriores también se usaron AsyncRAT, VenomRAT, GuLoader y Remcos; algunos scripts de Python instalan varias cargas útiles por separado
  • Las campañas van de cientos a decenas de miles de mensajes y afectaron a decenas o miles de organizaciones en todo el mundo; se usaron señuelos de tipo laboral como facturas, solicitudes de documentos, envíos e impuestos, además de varios idiomas
  • La infraestructura temporal de Cloudflare y el empaquetado con Python dificultan el bloqueo y el takedown, pero para llegar a la ejecución final se requieren varias instancias de interacción del usuario, como hacer clic en enlaces, ejecutar archivos y descomprimir contenido

Forma de abuso de TryCloudflare Tunnel

  • Esta actividad corresponde a un clúster ciberdelictivo que usa Cloudflare Tunnels como infraestructura de entrega de malware
  • La función abusada por los atacantes es TryCloudflare, que permite crear túneles de un solo uso sin crear una cuenta
  • Los túneles funcionan como una forma de acceder de manera remota a datos y recursos fuera de una red local, similar a una VPN o SSH
  • Cada vez que se usa TryCloudflare Tunnel, se genera un subdominio aleatorio de trycloudflare[.]com
    • Ejemplo: ride-fatal-italic-information[.]trycloudflare[.]com
    • El tráfico de ese subdominio se proxyfica a través de Cloudflare hacia el servidor local del operador
  • El abuso de TryCloudflare Tunnel empezó a usarse ampliamente en 2023 y es una tendencia creciente entre los actores de amenazas ciberdelictivos

Cadena de ataque y cargas útiles

  • La mayoría de las campañas hacen que una URL dentro del mensaje o un archivo adjunto lleve a un archivo de acceso directo de Internet .URL
  • Cuando se ejecuta el .URL, se conecta a un recurso compartido externo para descargar un archivo LNK o VBS
    • El recurso compartido externo normalmente usa WebDAV
    • Parte del staging de archivos usa el manejador de protocolo search-ms para obtener un LNK desde un recurso compartido WebDAV
  • Luego, el LNK/VBS ejecuta un archivo BAT o CMD, que descarga un paquete de instalación de Python y varios scripts de Python, lo que lleva a la instalación del malware
  • Es común que se muestre también un PDF benigno para que el usuario lo confunda con un documento legítimo
  • Casi todas las campañas observadas en junio y julio entregaban Xworm
    • En campañas anteriores también se entregaron AsyncRAT, VenomRAT, GuLoader y Remcos
    • Algunas campañas derivan en varias cargas maliciosas, y cada script de Python instala un malware distinto

Escala de las campañas y señuelos

  • El volumen de mensajes de las campañas varía desde cientos hasta decenas de miles
  • El alcance del impacto cubre desde decenas hasta miles de organizaciones en todo el mundo
  • Además de inglés, se observaron señuelos en francés, español y alemán
  • Las campañas de Xworm, AsyncRAT y VenomRAT generalmente se ejecutaron a mayor escala que las campañas de entrega de Remcos o GuLoader
  • Los temas de los señuelos se concentran en materiales con alta probabilidad de ser abiertos en un contexto laboral
    • Facturas
    • Solicitudes de documentos
    • Envíos
    • Impuestos

Cambios tácticos y evasión de detección

  • Aunque las tácticas, técnicas y procedimientos de las campañas son en general consistentes, los atacantes intentan cambiar partes de la cadena de ataque para aumentar la sofisticación y la evasión de defensas
  • Los scripts auxiliares de las campañas iniciales tenían poca o ninguna ofuscación
    • Los scripts también incluían comentarios que explicaban en detalle la funcionalidad del código
  • Desde junio de 2024, el código empezó a incluir ofuscación
  • Esta actividad no fue atribuida a ningún actor de amenazas específico bajo seguimiento, y se agrupa como un único clúster de actividad con base en las TTP de las campañas relacionadas

Campaña del 28 de mayo de 2024

  • La campaña del 28 de mayo de 2024 entregó AsyncRAT y Xworm
  • Los mensajes con temática de impuestos incluían una URL, y esa URL llevaba a un archivo .URL comprimido
  • Los objetivos fueron organizaciones legales y financieras, y el total de mensajes fue inferior a 50
  • El archivo .URL apuntaba a un archivo .LNK remoto
  • Al ejecutarse, un script auxiliar CMD invocaba PowerShell para descargar un paquete de Python comprimido y scripts de Python
  • El paquete de Python y los scripts derivaban en la instalación de AsyncRAT y Xworm

Campaña del 11 de julio de 2024

  • La campaña del 11 de julio de 2024 también usó túneles de Cloudflare para distribuir AsyncRAT y Xworm
  • La campaña incluyó más de 1,500 mensajes y apuntó a organizaciones de varios sectores, como finanzas, manufactura y tecnología
  • Los mensajes incluían un adjunto HTML con una consulta search-ms que apuntaba a un archivo LNK
  • Al ejecutarse, derivaba en un archivo BAT ofuscado, que invocaba PowerShell para descargar el paquete de instalación de Python y los scripts
  • Los componentes descargados derivaban en la ejecución de AsyncRAT y Xworm

Puntos importantes para la defensa

  • Los túneles de Cloudflare permiten a los atacantes usar infraestructura temporal para escalar sus operaciones y crear y eliminar instancias rápidamente
  • Las instancias temporales de Cloudflare crean condiciones más difíciles para los defensores y para las medidas de seguridad tradicionales que dependen de listas de bloqueo estáticas
  • El método de entrega basado en scripts de Python requiere atención especial
    • Al empaquetar bibliotecas de Python e instaladores ejecutables junto con scripts de Python, es posible descargar y ejecutar malware incluso en hosts que no tienen Python instalado previamente
    • Las organizaciones que no necesitan Python para sus tareas deben restringir su uso
  • Esta no es la primera vez que se entregan paquetes de software junto con archivos maliciosos
    • Recientemente, en campañas de malware basado en Java se observaron casos en los que un JAR y Java Runtime Environment se incluían juntos dentro de un ZIP para que el software necesario se instalara antes de ejecutar un downloader o dropper
  • La ejecución de la carga útil final requiere una interacción considerable de la víctima
    • Hacer clic en un enlace malicioso
    • Hacer doble clic en varios archivos como LNK o VBS
    • Descomprimir scripts comprimidos
    • Este proceso ofrece al destinatario varias oportunidades para identificar actividad sospechosa e interrumpir la cadena de ataque
  • Cada vez más actores de amenazas usan WebDAV y Server Message Block (SMB) para staging y entrega de cargas útiles
  • Las organizaciones deben restringir el acceso a servicios externos de intercambio de archivos únicamente a servidores en lista de permitidos conocidos

Reglas de detección e indicadores de compromiso

  • El Emerging Threats ruleset incluye detecciones de malware identificadas en esta campaña
  • Reglas de ejemplo:
    • 2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
    • 2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes
    • 2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes (Client)
    • 2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
    • 2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed
  • Ejemplos de indicadores de compromiso:
    • spectrum-exactly-knitting-rural[.]trycloudflare[.]com: host TryCloudflare, observado por primera vez en mayo de 2024
    • 157[.]20[.]182[.]172: IP C2 de Xworm, observada por primera vez en mayo de 2024
    • dcxwq1[.]duckdns[.]org: C2 de AsyncRAT, observado por primera vez en mayo de 2024
    • ride-fatal-italic-information[.]trycloudflare[.]com: host TryCloudflare, observado por primera vez en julio de 2024
    • todfg[.]duckdns[.]org: C2 de AsyncRAT, observado por primera vez en julio de 2024
    • welxwrm[.]duckdns[.]org: C2 de Xworm, observado por primera vez en julio de 2024
    • xwor3july[.]duckdns[.]org: C2 de Xworm, observado por primera vez en julio de 2024

1 comentarios

 
GN⁺ 2024-08-03
Comentarios en Hacker News
  • La época en que el malware se distribuía desde dominios .ru sospechosos o IP expuestas de proveedores de hosting blindado ya quedó atrás
    Los atacantes ahora también usan infraestructura que todo el mundo usa, como GCP, AWS, Azure y Cloudflare, y acceden a los dispositivos con las mismas VPN que usan tus abuelos para ver Netflix
    Internet se está moviendo cada vez más hacia un modelo en el que las direcciones IP y los nombres de dominio dejan de servir como indicadores de seguridad, y no se puede bloquear rangos de Cloudflare o AWS ni tampoco es fácil bloquear en un sitio a usuarios de VPN comerciales populares
    Además, tanto el tráfico como las consultas de nombres están cifrados, así que los operadores de red no pueden saber qué hace el usuario en internet
    Es un buen cambio porque mejora la privacidad y el anonimato, reduce la utilidad de las soluciones de seguridad de red, vuelve a simplificar las redes y evita su rigidez, además de forzar a abordar problemas de seguridad de fondo en lugar de sostener una ineficiente industria de jugar al topo

    • Dijiste que “no se puede bloquear a quienes visitan desde rangos IP de Cloudflare o AWS”, pero Reddit parece hacerlo con bastante certeza
      Hace poco tuve que arreglar un software backend de un tumblelog que descargaba videos de Reddit con yt-dlp, porque Reddit bloqueó los rangos IP de servidores dedicados de Hetzner
      Al final lo evité haciendo que el cliente descargara el video con JavaScript y luego lo subiera a mi servidor
    • Si puedes averiguar los rangos IP de los principales proveedores de VPN comerciales, puedes bloquear a los visitantes
      Algunos sitios ya lo hacen, y yo también lo estoy evaluando
      Además, vale la pena traer la lista de IP de nodos de salida de TOR y bloquear TOR; gracias a bloquear TOR he reducido mucho los dolores de cabeza causados por actores maliciosos
    • Que el malware ya no se distribuya desde hostings o registradores sospechosos sino desde infraestructura convencional parece ser resultado de que las fuerzas del orden no pueden o no quieren ocuparse realmente del crimen en línea
      En especial si no es un ámbito que incomode específicamente a grandes empresas, como los derechos de autor; si puedes evitar el castigo incluso usando proveedores convencionales, no hay razón para recurrir a hosting blindado o registradores sospechosos
    • Me preocupa que los reguladores no esperen a que se resuelva el problema de fondo y opten por una verificación de identidad más agresiva
      En el peor caso, todo internet podría terminar como Facebook, donde incluso para solo ver algo necesitas una cuenta inseparable de tu identidad real
    • Así que el resumen parece ser que también llegará el KYC al hosting en la nube
  • Ya me está cansando ver titulares sobre “entrega” de malware por medio de cosas como acortadores de enlaces
    No debería sorprender que haya muchas maneras de subir archivos a internet

    • Esto no es un acortador de enlaces sino un túnel, así que el usuario cree que se está conectando a Cloudflare, pero por detrás termina en un destino malicioso
      El destino final queda completamente oculto tanto para el usuario como para la pila de seguridad de la empresa
      Si Cloudflare quiere venderse como un producto de seguridad, no me parece descabellado esperar que supervise el malware dentro de su propio servicio
    • A este nivel, especialmente para quienes no son usuarios avanzados, hay que verlo como un problema de diseño de interacción del sistema operativo
      Cargarle todo a Cloudflare como si fuera solo un cómplice hace que se pierda la imagen completa
      Antes había que desactivar la ejecución automática en Windows para no infectarse por accidente con una unidad maliciosa, pero nadie culpaba a los fabricantes de CD-RW o memorias flash
    • Ojalá Cloudflare respondiera con un poco más de seriedad a los reportes de abuso
      Cuando he reportado phishing evidente y hosting de malware, no recuerdo haber visto que realmente tomaran medidas
    • Me parece absurdo que el diseño del navegador haya quedado tan rígido que solo con hacer clic en un enlace ya te expongas a amenazas de malware
      Antes el buen consejo era “no comas lo que no puedas identificar”, y en algún momento eso se torció hasta convertirse en “no mires lo que no puedas identificar”
      Y aun así, si no puedes seguir ese consejo, te tratan como si fueras un idiota, así que es fácil que los usuarios ni siquiera sepan cómo se ve una amenaza real
      Una mejor forma sería hacer que todos los enlaces se pudieran abrir de forma segura, y que solo hiciera falta evitar acciones riesgosas como ejecutar algo
      Así también podrías marcar lo que encuentres como amenazante o confiable para ayudar a tus colegas
  • Ya había escrito sobre el abuso de esta herramienta hace casi exactamente un año[0]
    Lo único que aquí parece nuevo es qué hacen a través del túnel y que este método está teniendo suficiente éxito como para aumentar su peso dentro del conjunto de técnicas de ataque
    En mi opinión, el verdadero problema es TryCloudflare
    No requiere ninguna cuenta, así que rastrear la atribución se vuelve casi imposible
    0: https://www.guidepointsecurity.com/blog/tunnel-vision-cloudf...

  • Da la impresión de que todos los productos gratuitos de túneles instantáneos terminan así
    ngrok también empezó con ese tunneling sin fricción, pero por abusos del mismo tipo al final tuvo que poner todo detrás de un flujo de registro

    • Si los atacantes no abusaran de esto, más bien me decepcionaría
      Si ofreces cifrado de extremo a extremo gratis sin responsabilidad vinculada al usuario, estás invitando al abuso
  • Si no fuera con túneles de Cloudflare, sería pidiéndote abrir con Google Translate una página web con la carga útil metida en la URL
    Cuesta verlo como noticia

  • Creo que esta es la razón por la que no podemos disfrutar cosas buenas en internet, en este caso las buenas funciones de Cloudflare
    ¿Sabías que antes se podían enviar correos gratis desde Cloudflare? (https://blog.cloudflare.com/sending-email-from-workers-with-...)
    Ahora ya no se puede
    Tal vez el cierre no fue culpa directa de Cloudflare, pero es un caso parecido de un buen servicio que desapareció por abuso

  • Hace mucho tiempo Cloudflare tenía una función para “previsualizar” el CSS y HTML que ibas a usar en páginas de error personalizadas
    Básicamente, la función de vista previa tomaba el CSS y HTML incluidos en la cadena de consulta y los mostraba tal cual en cloudflarepreview.com/...
    Cuando reporté esto, mostré que era facilísimo crear una página tipo “¡Inicia sesión con tu cuenta de Cloudflare para acceder a la vista previa beta de Cloudflare!” y robar credenciales de inicio de sesión de Cloudflare
    El bug bounty se cerró diciendo que era “aceptable dadas las características del playground de cloudflarepreview”, y luego lo corrigieron agregando un token JWT en la URL, pero no hubo recompensa
    Fui cliente de Cloudflare durante mucho tiempo, pero me parece que en el producto hay muchos rincones oscuros a los que nadie presta atención hasta que se abusan, y sospecho que este TryCloudflare es uno de ellos

  • Al ver este problema de que “nadie quiere gastar suficiente dinero en moderación y prevención de abuso”, me pregunto qué pasó con aquella idea de la era inicial de PGP sobre redes distribuidas de confianza y desconfianza para la identidad en línea
    Ahora apenas sobrevive un poco en formas como cuentas de redes sociales “confiables” según la cantidad de seguidores, los seguidores de esos seguidores y los bots infinitos debajo, o en cosas como PageRank y el abuso del SEO

    • La gente que puede entender y usar esas propuestas, para empezar, no es tan tonta como para instalar un caballo de Troya
    • Como siguen apareciendo deepfakes surrealistamente convincentes, la sociedad va a tener que encontrar pronto una forma de verificar que la fuente sea auténtica
  • Me pregunto si este tipo de ataque lo habría detectado ese infame programa de seguridad de endpoints, por ejemplo ClownStrike
    Parece que este tráfico solo se mostraría si el atacante fuera lo bastante novato como para reutilizar un troyano de acceso remoto ya conocido

    • Con CrowdStrike bastaría configurar el bloqueo de la ejecución de cualquier exe arbitrario
      No importa si el atacante usa o no un ejecutable malicioso ya conocido
  • Esto me recuerda la época en que andaban por todos lados los discos de cuentas de prueba gratis de AOL
    En muchas comunidades, los subdominios de AOL se bloqueaban de inmediato

    • También hacía falta bloquear *.ipt.aol.com
      Porque algún usuario de AOL usó el DNS inverso HOST.ipt.aol.com para evadir el bloqueo y perjudicó a todo el mundo
      También estamos aquí los de la generación de Prodigy / CompuServe / Blue Light