Agente de ameaça distribui RATs abusando de túneis da Cloudflare
(proofpoint.com)- Uma atividade de cibercrime observada desde fevereiro de 2024 abusou do TryCloudflare Tunnel para distribuir malware; a atividade aumentou entre maio e julho, e as campanhas mais recentes levaram principalmente ao Xworm
- Os ataques seguem um fluxo em que URLs ou anexos em e-mails levam a arquivos .URL, passando depois por WebDAV, LNK/VBS, BAT/CMD, pacotes de instalação do Python e scripts até instalar um RAT
- Em junho e julho, o Xworm predominou, mas campanhas anteriores também usaram AsyncRAT, VenomRAT, GuLoader e Remcos, e alguns scripts em Python instalavam vários payloads separados
- As campanhas variaram de centenas a dezenas de milhares de mensagens e afetaram de dezenas a milhares de organizações no mundo todo, usando iscas de contexto corporativo como faturas, pedidos de documentos, entregas e impostos, além de vários idiomas
- A infraestrutura temporária da Cloudflare e o empacotamento com Python dificultam bloqueio e takedown, mas a execução final ainda exige várias etapas de interação do usuário, como clicar em links, executar arquivos e descompactar conteúdo
Como o TryCloudflare Tunnel é abusado
- Esta atividade é um cluster de cibercrime que usa o Cloudflare Tunnels como infraestrutura de entrega de malware
- O recurso abusado pelos atacantes é o TryCloudflare, que permite criar túneis temporários sem criar conta
- O túnel funciona como uma forma de acessar remotamente dados e recursos fora da rede local, de modo semelhante a uma VPN ou SSH
- Cada uso do TryCloudflare Tunnel gera um subdomínio aleatório em
trycloudflare[.]com- Exemplo:
ride-fatal-italic-information[.]trycloudflare[.]com - O tráfego desse subdomínio é encaminhado pela Cloudflare e enviado por proxy ao servidor local do operador
- Exemplo:
- O abuso do TryCloudflare Tunnel começou a se popularizar em 2023 e está em alta entre agentes de ameaça cibercriminosa
Cadeia de ataque e payloads
- Na maioria das campanhas, a URL ou o anexo da mensagem leva a um arquivo .URL de atalho da internet
- Quando o .URL é executado, ele se conecta a um compartilhamento externo de arquivos para baixar um arquivo LNK ou VBS
- O compartilhamento externo normalmente usa WebDAV
- Em alguns casos, o staging de arquivos usa o manipulador de protocolo search-ms para buscar o LNK em um compartilhamento WebDAV
- Em seguida, o LNK/VBS executa um arquivo BAT ou CMD, que baixa um pacote de instalação do Python e vários scripts em Python, levando à instalação do malware
- É comum exibir junto um PDF inofensivo para fazer o usuário acreditar que se trata de um documento legítimo
- Quase todas as campanhas observadas em junho e julho entregaram Xworm
- Campanhas anteriores também entregaram AsyncRAT, VenomRAT, GuLoader e Remcos
- Algumas campanhas levavam a vários payloads maliciosos, com cada script em Python instalando um malware diferente
Escala das campanhas e iscas
- O volume de mensagens nas campanhas variou de centenas a dezenas de milhares
- O alcance do impacto abrangeu de dezenas a milhares de organizações em todo o mundo
- Além do inglês, foram observados francês, espanhol e alemão como idiomas das iscas
- As campanhas com Xworm, AsyncRAT e VenomRAT em geral ocorreram em escala maior do que as campanhas de entrega de Remcos ou GuLoader
- Os temas das iscas se concentram em assuntos com maior chance de abertura em contexto de trabalho
- Faturas
- Solicitações de documentos
- Entregas
- Impostos
Mudanças táticas e evasão de detecção
- As táticas, técnicas e procedimentos das campanhas foram amplamente consistentes, mas os atacantes tentam alterar partes da cadeia de ataque para aumentar a sofisticação e a evasão de defesas
- Os scripts auxiliares das campanhas iniciais tinham pouca ou nenhuma ofuscação
- Os scripts incluíam até comentários descrevendo em detalhe a função do código
- A partir de junho de 2024, o código passou a incluir ofuscação
- Esta atividade não foi atribuída a um agente de ameaça específico sob rastreamento, e as campanhas relacionadas foram agrupadas como um único cluster de atividade com base nos TTPs
Campanha de 28 de maio de 2024
- A campanha de 28 de maio de 2024 entregou AsyncRAT e Xworm
- Mensagens com tema de impostos continham uma URL que levava a um arquivo .URL compactado
- Os alvos eram organizações jurídicas e financeiras, e o total de mensagens foi inferior a 50
- O arquivo .URL apontava para um arquivo .LNK remoto
- Quando executado, um script auxiliar em CMD chamava o PowerShell para baixar um pacote compactado do Python e scripts em Python
- O pacote do Python e os scripts levavam à instalação do AsyncRAT e do Xworm
Campanha de 11 de julho de 2024
- A campanha de 11 de julho de 2024 também usou túneis da Cloudflare para distribuir AsyncRAT e Xworm
- A campanha incluiu mais de 1.500 mensagens e teve como alvo organizações de vários setores, incluindo finanças, manufatura e tecnologia
- As mensagens incluíam um anexo HTML com uma consulta search-ms apontando para um arquivo LNK
- Quando executado, isso levava a um arquivo BAT ofuscado, que chamava o PowerShell para baixar o pacote de instalação do Python e scripts
- Os componentes baixados levavam à execução do AsyncRAT e do Xworm
Pontos importantes do ponto de vista defensivo
- Os túneis da Cloudflare permitem que atacantes usem infraestrutura temporária para escalar as operações e criar ou derrubar instâncias rapidamente
- Instâncias temporárias da Cloudflare criam condições mais difíceis para defensores e para medidas tradicionais de segurança que dependem de listas estáticas de bloqueio
- O método de entrega baseado em scripts Python exige atenção especial
- Ao empacotar bibliotecas Python e instaladores executáveis junto com scripts em Python, é possível baixar e executar malware mesmo em hosts onde o Python não esteja previamente instalado
- Organizações que não precisam de Python nas atividades de trabalho devem restringir seu uso
- Não é a primeira vez que software é distribuído junto com arquivos maliciosos
- Recentemente, campanhas de malware baseadas em Java foram observadas incluindo um JAR e o Java Runtime Environment dentro de um ZIP, para garantir que o software necessário estivesse instalado antes da execução do downloader ou dropper
- A execução do payload final exige interação significativa da vítima
- Clicar em link malicioso
- Dar duplo clique em vários arquivos, como LNK ou VBS
- Descompactar scripts comprimidos
- Esse processo oferece várias oportunidades para que o destinatário identifique atividade suspeita e interrompa a cadeia de ataque
- Está crescendo o número de agentes de ameaça que usam WebDAV e Server Message Block (SMB) para staging e entrega de payloads
- As organizações devem limitar o acesso a serviços externos de compartilhamento de arquivos apenas a servidores permitidos em lista de permissão
Regras de detecção e indicadores de comprometimento
- O ruleset do Emerging Threats inclui detecção dos malwares identificados nesta campanha
- Regras de exemplo:
2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes (Client)2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed
- Exemplos de indicadores de comprometimento:
spectrum-exactly-knitting-rural[.]trycloudflare[.]com: host TryCloudflare, observado pela primeira vez em maio de 2024157[.]20[.]182[.]172: IP de C2 do Xworm, observado pela primeira vez em maio de 2024dcxwq1[.]duckdns[.]org: C2 do AsyncRAT, observado pela primeira vez em maio de 2024ride-fatal-italic-information[.]trycloudflare[.]com: host TryCloudflare, observado pela primeira vez em julho de 2024todfg[.]duckdns[.]org: C2 do AsyncRAT, observado pela primeira vez em julho de 2024welxwrm[.]duckdns[.]org: C2 do Xworm, observado pela primeira vez em julho de 2024xwor3july[.]duckdns[.]org: C2 do Xworm, observado pela primeira vez em julho de 2024
1 comentários
Opiniões no Hacker News
Já passou a época em que software malicioso era distribuído a partir de domínios
.rususpeitos ou de IPs expostos de provedores de hospedagem à prova de balaAgora os atacantes também usam a infraestrutura que todo mundo usa, como GCP, AWS, Azure, Cloudflare, e acessam dispositivos pela mesma VPN que seus avós usam para assistir à Netflix
A internet está caminhando cada vez mais para um modelo em que endereços IP e nomes de domínio deixam de servir como indicadores de segurança; não dá para bloquear faixas da Cloudflare ou da AWS, nem é fácil impedir que usuários de grandes VPNs comerciais acessem um site
Além disso, como o tráfego e as consultas de nomes estão todos criptografados, operadores de rede não conseguem saber o que os usuários fazem na internet
Essa é uma boa mudança porque aumenta a privacidade e o anonimato, reduz a utilidade das soluções de segurança de rede, tornando as redes mais simples de novo e evitando seu enrijecimento, e força a tratar os problemas fundamentais de segurança em vez de sustentar uma indústria ineficiente de enxugar gelo
Recentemente tive de consertar um software de backend de tumblog que baixa vídeos do Reddit com
yt-dlp, porque o Reddit bloqueou faixas de IP de servidores dedicados da HetznerNo fim, contornei fazendo o cliente baixar o vídeo em JavaScript e enviá-lo para o meu servidor
Alguns sites já fazem isso, e eu também estou avaliando
Também vale a pena obter a lista de IPs de nós de saída do TOR e bloquear o TOR; bloquear o TOR reduziu muito as dores de cabeça causadas por agentes maliciosos
Isso é especialmente verdade fora de áreas que incomodam especificamente grandes empresas, como direitos autorais; se dá para evitar punição usando provedores mainstream, não há motivo para usar hospedagem à prova de bala ou registradores suspeitos
O pior cenário é a internet inteira virar algo como o Facebook, em que até para apenas ver alguma coisa você precisa de uma conta inseparável da sua identidade real
Já estou ficando cansado de manchetes sobre “entrega” de malware por meio de coisas como encurtadores de link
Não é surpresa que existam várias formas de as pessoas colocarem arquivos na internet
O destino final fica totalmente oculto tanto do usuário quanto da pilha de segurança da empresa
Se a Cloudflare quer se vender como produto de segurança, não acho exagero esperar que ela monitore malware em seus próprios serviços
Colocar a Cloudflare apenas como cúmplice é perder o panorama maior
Antigamente era preciso desativar a execução automática no Windows para evitar infecções acidentais por drives maliciosos, mas ninguém culpava fabricantes de CD-RW ou pendrives
Acho que nunca vi ação concreta quando denunciei phishing óbvio e hospedagem de malware
Originalmente, “não coma o que você não consegue identificar” era um bom conselho, mas em algum momento isso foi distorcido para “não veja o que você não consegue identificar”
Mesmo assim, tratam o usuário como idiota se ele não consegue seguir esse conselho, o que facilmente deixa as pessoas sem saber como uma ameaça real se parece
Uma abordagem melhor seria permitir clicar em todos os links com segurança, desde que você não faça ações perigosas, como executar algo
Assim, seria possível marcar o que você encontrou como ameaçador ou confiável e ajudar também seus colegas
Eu já escrevi sobre o abuso dessa ferramenta há quase exatamente 1 ano[0]
A única coisa que parece nova aqui é o que se faz por meio do túnel e o fato de esse método estar sendo bem-sucedido o bastante para crescer em participação no conjunto das técnicas de ataque
Na minha opinião, o TryCloudflare é o problema real
Ele não exige conta nenhuma, o que torna a atribuição praticamente impossível
0: https://www.guidepointsecurity.com/blog/tunnel-vision-cloudf...
Acho que produtos gratuitos de túneis instantâneos acabam todos virando isso
O ngrok também era ótimo no começo pelo tunelamento sem atrito, mas, por causa do mesmo tipo de abuso, acabou tendo de colocar tudo atrás de um fluxo de cadastro
Se você oferece criptografia de ponta a ponta gratuita sem responsabilidade vinculada ao usuário, está chamando o abuso
Se não for um túnel da Cloudflare, será algo como pedir para abrir no Google Tradutor uma página web com o payload na URL
Isso dificilmente é notícia
Acho que é por coisas assim que não podemos ter coisas boas na internet; neste caso, os bons recursos da Cloudflare
Você sabia que dava para enviar e-mail gratuitamente pela Cloudflare? (https://blog.cloudflare.com/sending-email-from-workers-with-...)
Agora não dá mais
O encerramento talvez não tenha sido exatamente culpa da Cloudflare, mas é um caso parecido de um bom serviço sendo abusado até desaparecer
Há muito tempo, a Cloudflare tinha um recurso para “pré-visualizar” CSS e HTML usados em páginas de erro personalizadas
Basicamente, o recurso de pré-visualização recebia CSS e HTML na query string e os exibia diretamente em
cloudflarepreview.com/...Eu denunciei isso mostrando como era muito fácil criar uma página do tipo “Faça login com sua conta Cloudflare para acessar a prévia beta da Cloudflare!” e roubar credenciais de login da Cloudflare
O bug bounty foi fechado como “aceito devido à natureza do playground cloudflarepreview”, e depois eles corrigiram adicionando um token JWT à URL, mas não houve recompensa
Fui cliente da Cloudflare por muito tempo, mas parece haver muitos cantos obscuros no produto que só recebem atenção depois de serem abusados, e suspeito que este TryCloudflare seja um deles
Diante do problema de que “ninguém quer gastar dinheiro suficiente com moderação e prevenção de abuso”, fico me perguntando o que aconteceu com aquela ideia, falada nos primórdios do PGP, de uma rede descentralizada de confiança e desconfiança para identidades online
Hoje isso sobrevive um pouco na forma de contas de redes sociais “confiáveis” conforme número de seguidores, seguidores dos seguidores e a infinidade de bots abaixo disso, ou em coisas como PageRank e abuso de otimização para mecanismos de busca
Fico curioso se esse tipo de ataque teria sido detectado por aqueles infames programas de segurança de endpoint, por exemplo o ClownStrike
Acho que esse tráfego só apareceria se o atacante fosse inexperiente a ponto de reutilizar um trojan de acesso remoto já conhecido
exeNão importa se o atacante está usando um executável malicioso já conhecido
Isso me lembra a época em que discos de contas de teste grátis da AOL estavam espalhados por toda parte
Em muitas comunidades, subdomínios da AOL eram bloqueados imediatamente
*.ipt.aol.comPorque um usuário da AOL usava o DNS reverso
HOST.ipt.aol.compara contornar bloqueios e prejudicava todo mundoA geração Prodigy / CompuServe / Blue Light também está aqui