Actor de amenazas distribuye troyanos de acceso remoto abusando de Cloudflare Tunnel

 (proofpoint.com)
2 puntos por GN⁺ 2024-08-03 | 1 comentarios | Compartir por WhatsApp

Hallazgos principales

  • Proofpoint observó un aumento en la distribución de malware que abusa de TryCloudflare Tunnel
  • Esta actividad tiene una motivación financiera y distribuye troyanos de acceso remoto (RATs)
  • Desde la observación inicial, los atacantes han modificado sus tácticas, técnicas y procedimientos para evadir la detección y aumentar la eficiencia
  • Proofpoint no atribuye esta actividad a un actor de amenazas específico, pero la investigación sigue en curso

Resumen

Proofpoint está rastreando actividad cibercriminal que distribuye malware abusando de Cloudflare Tunnels. En particular, los atacantes están aprovechando la función TryCloudflare, que permite crear túneles de un solo uso sin necesidad de crear una cuenta. Los túneles permiten acceder de forma remota a datos y recursos que no están en la red local, de manera similar a los protocolos VPN o SSH. Este clúster, observado por primera vez en febrero de 2024, incrementó su actividad entre mayo y julio, y en los últimos meses la mayoría de las campañas terminaron distribuyendo un RAT llamado Xworm. En la mayoría de las campañas, los mensajes con URL o archivos adjuntos apuntan a archivos de acceso directo de Internet (.URL). Al ejecutarse, se conectan a un recurso compartido de archivos externo mediante WebDAV para descargar archivos LNK o VBS. Una vez ejecutados, los LNK/VBS ejecutan archivos BAT o CMD para descargar un paquete de instalación de Python y una serie de scripts de Python que instalan el malware. En algunos casos, se usa el manejador de protocolo search-ms para buscar LNK en un recurso compartido WebDAV. Por lo general, las campañas muestran al usuario un PDF inofensivo para parecer legítimas.

Ejemplos de campañas

Campaña AsyncRAT / Xworm del 28 de mayo de 2024 Proofpoint observó el 28 de mayo de 2024 una campaña que distribuía AsyncRAT y Xworm. En esta campaña, mensajes con temática fiscal apuntaban a un archivo comprimido que contenía un archivo URL. La campaña estuvo dirigida a organizaciones de los sectores legal y financiero, y el número total de mensajes fue inferior a 50. El archivo URL apuntaba a un archivo LNK remoto. Al ejecutarse, un script auxiliar CMD invocaba PowerShell para descargar un paquete comprimido de Python y scripts de Python. El paquete y los scripts de Python terminaban instalando AsyncRAT y Xworm.

Campaña AsyncRAT / Xworm del 11 de julio de 2024 Los investigadores observaron el 11 de julio de 2024 otra campaña que aprovechaba túneles de Cloudflare para distribuir AsyncRAT y Xworm. Esta campaña incluía más de 1,500 mensajes dirigidos a organizaciones de diversos sectores, incluidos finanzas, manufactura y tecnología. En esta campaña, archivos adjuntos HTML apuntaban a archivos LNK incluyendo consultas search-ms. Al ejecutarse, archivos BAT ofuscados invocaban PowerShell para descargar paquetes de instalación de Python y scripts que ejecutaban AsyncRAT y Xworm.

Atribución

Con base en las tácticas, técnicas y procedimientos (TTP) observados en las campañas, Proofpoint evalúa que se trata de un clúster de actividad relacionada. Los investigadores no han atribuido esta actividad a un actor de amenazas específico, pero la investigación sigue en curso.

Importancia

El uso de túneles de Cloudflare les da a los atacantes la flexibilidad de escalar sus operaciones utilizando infraestructura temporal. Esto dificulta la labor de los defensores y de las medidas de seguridad tradicionales que dependen de listas de bloqueo estáticas. Las instancias temporales de Cloudflare ofrecen a los atacantes una forma de bajo costo de preparar ataques mientras minimizan la exposición a detección y eliminación. También es notable que los atacantes usen scripts de Python para distribuir malware. Al empaquetar bibliotecas de Python y ejecutables instaladores junto con scripts de Python, pueden descargar y ejecutar malware incluso en hosts donde Python no estaba instalado previamente. Las organizaciones deberían restringir el uso de Python cuando no sea necesario para la función laboral de una persona. En los últimos meses, Proofpoint observó campañas que distribuían malware basado en Java, incluyendo JAR y Java Runtime Environment (JRE) dentro de ZIP para ejecutar un downloader o dropper una vez instalado el software adecuado. La cadena de ataque requiere una interacción considerable por parte de la víctima para ejecutar la carga útil final. Esto brinda múltiples oportunidades para que los destinatarios identifiquen actividad sospechosa e interrumpan la cadena de ataque.

Firmas de Emerging Threats

El conjunto de reglas de Emerging Threats incluye reglas para detectar el malware identificado en esta campaña. Ejemplos:

  • 2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
  • 2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes
  • 2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes(Client)
  • 2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
  • 2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed

Indicadores de compromiso de ejemplo

Indicador Descripción Primera observación
spectrum-exactly-knitting-rural[.]trycloudflare[.]com Host de Trycloudflare mayo de 2024
53c32ea384894526992d010c0c49ffe250d600b9b4472cce86bbd0249f88eada SHA256 de .URL mayo de 2024
a79fbad625a5254d4f7f39461c2d687a1937f3f83e184bd62670944462b054f7 SHA256 de LNK mayo de 2024
0f1118b30b2da0b6e82f95d9bbf87101d8298a85287f4de58c9655eb8fecd3c6 SHA256 de CMD mayo de 2024
157[.]20[.]182[.]172 IP C2 de Xworm mayo de 2024
dcxwq1[.]duckdns[.]org C2 de AsyncRAT mayo de 2024
a40f194870b54aeb102089108ecf18b3af9b449066a240f0077ff4edbb556e81 SHA256 de HTML julio de 2024
3867de6fc23b11b3122252dcebf81886c25dba4e636dd1a3afed74f937c3b998 SHA256 de LNK julio de 2024
ride-fatal-italic-information[.]trycloudflare[.]com Host de Trycloudflare julio de 2024
0fccf3d1fb38fa337baf707056f97ef011def859901bb922a4d0a1f25745e64f SHA256 de BAT julio de 2024
todfg[.]duckdns[.]org C2 de AsyncRAT julio de 2024
welxwrm[.]duckdns[.]org C2 de Xworm julio de 2024
xwor3july[.]duckdns[.]org C2 de Xworm julio de 2024

Resumen de GN⁺

  • Este artículo trata sobre el aumento en la distribución de malware que abusa de túneles de Cloudflare
  • Los atacantes usan scripts de Python para distribuir malware, lo que dificulta la detección y la eliminación
  • Las organizaciones deberían restringir el uso de Python y limitar el acceso a servicios externos de intercambio de archivos
  • Otros proyectos con funciones similares incluyen diversas soluciones de seguridad

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-08-03
Opiniones en Hacker News

  • Ya pasó la época en que el malware se servía desde dominios .ru o direcciones IP sospechosas

    • Ahora los actores de amenazas usan infraestructura como GCP, AWS, Azure y Cloudflare
    • Incluso usan las mismas VPN que los usuarios normales
    • Las direcciones IP y los nombres de dominio dejaron de ser útiles como indicadores de seguridad
    • Todo el tráfico y las consultas de nombres están cifrados, así que los operadores de red ya no pueden saber qué actividad de internet ocurre
    • Esto mejora la privacidad y el anonimato, reduce las soluciones ineficientes de seguridad de red y obliga a resolver los problemas de seguridad de raíz

  • Siento cansancio ante los titulares sobre distribución de malware mediante acortadores de enlaces

    • No es nada sorprendente que la gente pueda alojar archivos en internet de muchas formas

  • El servicio gratuito de envío de correo de Cloudflare fue descontinuado por abuso

    • Cuando se abusa de un buen servicio, termina siendo inevitable descontinuarlo

  • Es posible alojar páginas web con payloads maliciosos a través de Cloudflare Tunnel

    • No me parece que eso tenga valor noticioso

  • Todos los productos gratuitos de tunneling, si se abusan, terminan volviéndose de pago

    • ngrok también era sencillo al principio, pero por el abuso tuvo que introducir un proceso de registro

  • Escribí hace un año sobre el uso malicioso de TryCloudflare

    • Como puede usarse sin cuenta, es casi imposible rastrearlo

  • Había una vulnerabilidad en la función de vista previa de páginas de error personalizadas de Cloudflare

    • Permitía capturar credenciales de inicio de sesión
    • Lo corrigieron agregando un token JWT, pero no pagaron recompensa por bug bounty
    • Sospecho que TryCloudflare tendrá un problema parecido

  • Me pregunto qué fue de la idea de una red distribuida de confianza de la era inicial de PGP

    • Hoy la confianza se forma con base en cosas como la cantidad de seguidores en redes sociales

  • Me pregunto si los programas de seguridad de endpoint podrán detectar este tipo de ataques

    • Creo que no lo detectarán, a menos que el atacante reutilice un RAT conocido

  • Cuando veo la frase "I hope this message finds you well", de inmediato se enciende la alerta de spam/estafa