Cloudflare Tunnel’ı kötüye kullanarak uzaktan erişim truva atları dağıtan tehdit aktörü

 (proofpoint.com)
2 puan yazan GN⁺ 2024-08-03 | 1 yorum | WhatsApp'ta paylaş

Başlıca bulgular

  • Proofpoint, TryCloudflare Tunnel’ın kötüye kullanıldığı zararlı yazılım dağıtımında artış gözlemledi
  • Bu faaliyet finansal motivasyon taşıyor ve uzaktan erişim truva atları (RAT) dağıtıyor
  • İlk gözlemlerden sonra saldırganlar, tespitten kaçınmak ve verimliliği artırmak için taktik, teknik ve prosedürlerini değiştirdi
  • Proofpoint bu faaliyeti belirli bir tehdit aktörüne atfetmiyor, ancak araştırma sürüyor

Genel bakış

Proofpoint, Cloudflare Tunnels’ın kötüye kullanılarak zararlı yazılım dağıtılan siber suç faaliyetlerini takip ediyor. Özellikle saldırganlar, hesap oluşturmadan tek kullanımlık tüneller kurulmasına izin veren TryCloudflare özelliğini kötüye kullanıyor. Tüneller, VPN veya SSH protokolü gibi, yerel ağda bulunmayan veri ve kaynaklara uzaktan erişim sağlıyor. İlk kez Şubat 2024’te gözlemlenen bu kümenin faaliyeti Mayıs ile Temmuz arasında arttı ve son aylarda kampanyaların çoğu Xworm adlı bir RAT ile sonuçlandı. Kampanyaların çoğunda URL veya ek içeren mesajlar, internet kısayolu (.URL) dosyalarına yönlendiriliyor. Bunlar çalıştırıldığında WebDAV üzerinden harici bir dosya paylaşımına bağlanarak LNK veya VBS dosyaları indiriyor. Çalıştırıldığında LNK/VBS, BAT veya CMD dosyalarını çalıştırıyor; bunlar da Python kurulum paketi ile bir dizi Python betiğini indirerek zararlı yazılımı yüklüyor. Bazı durumlarda saldırganlar, WebDAV paylaşımındaki LNK dosyalarını bulmak için search-ms protocol handler kullanıyor. Kampanyalar genellikle kullanıcıya meşru görünmesi için zararsız bir PDF de gösteriyor.

Kampanya örnekleri

AsyncRAT / Xworm kampanyası 28 Mayıs 2024 Proofpoint, 28 Mayıs 2024’te AsyncRAT ve Xworm dağıtan bir kampanya gözlemledi. Bu kampanyada vergi temalı mesajlar, içinde URL dosyası bulunan sıkıştırılmış dosyalara yönlendiriliyordu. Kampanya hukuk ve finans alanındaki kuruluşları hedefliyordu ve toplam mesaj sayısı 50’nin altındaydı. URL dosyaları uzaktaki LNK dosyalarını işaret ediyordu. Bunlar çalıştırıldığında bir CMD yardımcı betiği, sıkıştırılmış Python paketi ile Python betiklerini indirmek için PowerShell’i çağırıyordu. Python paketi ve betikler, AsyncRAT ile Xworm’un kurulmasına yol açıyordu.

AsyncRAT / Xworm kampanyası 11 Temmuz 2024 Araştırmacılar 11 Temmuz 2024’te Cloudflare tünellerini kullanarak AsyncRAT ve Xworm dağıtan başka bir kampanya gözlemledi. Bu kampanya finans, üretim ve teknoloji dahil çeşitli sektörlerdeki kuruluşları hedef aldı ve 1.500’den fazla mesaj içeriyordu. Bu kampanyada HTML ekleri, search-ms sorguları kullanarak LNK dosyalarını işaret ediyordu. Bunlar çalıştırıldığında, obfuscation uygulanmış BAT dosyaları PowerShell’i çağırarak Python kurulum paketleri ile betikleri indiriyor ve ardından AsyncRAT ile Xworm’u çalıştırıyordu.

Atıf

Kampanyalarda gözlemlenen taktik, teknik ve prosedürlere (TTP) dayanarak Proofpoint, bunu ilişkili faaliyetlerin tek bir kümesi olarak değerlendiriyor. Araştırmacılar bu faaliyeti belirli bir tehdit aktörüne atfetmedi, ancak araştırma devam ediyor.

Önemi

Cloudflare tünellerinin kullanımı, saldırganlara geçici altyapı kullanarak operasyonlarını ölçeklendirme esnekliği sağlıyor. Bu da savunmacılar ve statik engelleme listelerine dayanan geleneksel güvenlik önlemleri için işi zorlaştırıyor. Geçici Cloudflare örnekleri, saldırganlara tespit ve kaldırılma riskini en aza indirirken saldırı hazırlamak için düşük maliyetli bir yol sunuyor. Saldırganların zararlı yazılım dağıtımında Python betikleri kullanması özellikle dikkat çekici. Python kütüphaneleri ve çalıştırılabilir kurulum dosyaları Python betikleriyle birlikte paketlendiğinde, daha önce Python kurulu olmayan sistemlerde bile zararlı yazılım indirilebiliyor ve çalıştırılabiliyor. Kuruluşlar, kişinin iş görevi için gerekli olmadığı durumlarda Python kullanımını kısıtlamalı. Proofpoint son aylarda Java tabanlı zararlı yazılım dağıtan kampanyalar da gözlemledi; bu kampanyalarda ZIP içinde JAR ve Java Runtime Environment (JRE) yer alıyor ve doğru yazılım kurulduktan sonra downloader veya dropper çalıştırılıyor. Saldırı zinciri, son payload’u çalıştırmak için mağdurdan önemli ölçüde etkileşim gerektiriyor. Bu da alıcılara şüpheli faaliyeti fark edip saldırı zincirini kesintiye uğratmak için birden fazla fırsat veriyor.

Emerging Threats imzaları

Emerging Threats kural seti, bu kampanyada tespit edilen zararlı yazılımları algılayan kurallar içeriyor. Örnekler:

  • 2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
  • 2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes
  • 2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes(Client)
  • 2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
  • 2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed

Örnek uzlaşma göstergeleri

Gösterge Açıklama İlk gözlem
spectrum-exactly-knitting-rural[.]trycloudflare[.]com Trycloudflare ana makinesi Mayıs 2024
53c32ea384894526992d010c0c49ffe250d600b9b4472cce86bbd0249f88eada .URL SHA256 Mayıs 2024
a79fbad625a5254d4f7f39461c2d687a1937f3f83e184bd62670944462b054f7 LNK SHA256 Mayıs 2024
0f1118b30b2da0b6e82f95d9bbf87101d8298a85287f4de58c9655eb8fecd3c6 CMD SHA256 Mayıs 2024
157[.]20[.]182[.]172 Xworm C2 IP Mayıs 2024
dcxwq1[.]duckdns[.]org AsyncRAT C2 Mayıs 2024
a40f194870b54aeb102089108ecf18b3af9b449066a240f0077ff4edbb556e81 HTML SHA256 Temmuz 2024
3867de6fc23b11b3122252dcebf81886c25dba4e636dd1a3afed74f937c3b998 LNK SHA256 Temmuz 2024
ride-fatal-italic-information[.]trycloudflare[.]com Trycloudflare ana makinesi Temmuz 2024
0fccf3d1fb38fa337baf707056f97ef011def859901bb922a4d0a1f25745e64f BAT SHA256 Temmuz 2024
todfg[.]duckdns[.]org AsyncRAT C2 Temmuz 2024
welxwrm[.]duckdns[.]org Xworm C2 Temmuz 2024
xwor3july[.]duckdns[.]org Xworm C2 Temmuz 2024

GN⁺ özeti

  • Bu yazı, Cloudflare tünellerinin kötüye kullanıldığı zararlı yazılım dağıtımındaki artışı ele alıyor
  • Saldırganlar zararlı yazılım dağıtmak için Python betikleri kullanıyor; bu da tespit ve kaldırmayı zorlaştırıyor
  • Kuruluşlar Python kullanımını ve harici dosya paylaşım servislerine erişimi kısıtlamalı
  • Benzer işlevlere sahip diğer projeler arasında çeşitli güvenlik çözümleri bulunuyor

İlgili okumalar

1 yorum

 
GN⁺ 2024-08-03
Hacker News yorumu

  • Kötü amaçlı yazılımların şüpheli .ru alan adları veya IP adreslerinden sunulduğu dönem geride kaldı

    • Artık tehdit aktörleri GCP, AWS, Azure, Cloudflare gibi altyapıları kullanıyor
    • VPN olarak da normal kullanıcılarla aynı hizmetleri kullanıyorlar
    • IP adresleri ve alan adları güvenlik göstergeleri olarak artık pek kullanışlı değil
    • Tüm trafik ve ad çözümleme işlemleri şifrelendiği için ağ yöneticileri internet etkinliğini göremez hale geldi
    • Bu da gizlilik ve anonimliğin iyileşmesini sağlıyor, etkisiz ağ güvenliği çözümlerini azaltıyor ve temel güvenlik sorunlarını çözmeye zorluyor

  • Link kısaltıcılar üzerinden kötü amaçlı yazılım dağıtımı hakkındaki manşetlerden bıkkınlık hissediyorum

    • İnsanların dosyaları internette çeşitli yollarla barındırabilmesi şaşırtıcı bir şey değil

  • Cloudflare'in ücretsiz e-posta gönderim hizmetinin durdurulma nedeni kötüye kullanımdı

    • İyi bir hizmet kötüye kullanılırsa kaçınılmaz olarak kapatılır

  • Cloudflare Tunnel üzerinden kötü amaçlı yük içeren web sayfaları barındırılabiliyor

    • Bunun haber değeri taşıdığını düşünmüyorum

  • Tüm ücretsiz tünelleme ürünleri kötüye kullanıldığında eninde sonunda ücretli hale geliyor

    • ngrok da başlangıçta kullanışlıydı ama kötüye kullanım nedeniyle kayıt süreci eklemek zorunda kaldı

  • TryCloudflare'ın kötü amaçlı kullanımı hakkında 1 yıl önce yazmıştım

    • Hesap olmadan kullanılabildiği için izini sürmek neredeyse imkansız

  • Cloudflare'in özel hata sayfası önizleme özelliğinde bir güvenlik açığı vardı

    • Giriş kimlik bilgileri ele geçirilebiliyordu
    • JWT token eklenerek düzeltildi ama bug bounty ödenmedi
    • TryCloudflare'ın da benzer bir sorunu olabileceğinden şüpheleniyorum

  • İlk dönem PGP'deki dağıtık güven ağı fikrine ne olduğunu merak ediyorum

    • Bugün güven, sosyal medya hesaplarındaki takipçi sayısı gibi şeyler üzerinden oluşuyor

  • Endpoint güvenlik programlarının bu tür saldırıları tespit edip edemeyeceğini merak ediyorum

    • Saldırganlar bilinen bir RAT'i yeniden kullanmadıkça tespit edilmeyeceğini düşünüyorum

  • "I hope this message finds you well" ifadesini görünce spam/dolandırıcılık alarmı anında çalıyor