Agente de ameaça distribui trojans de acesso remoto abusando de túneis da Cloudflare

 (proofpoint.com)
2 pontos por GN⁺ 2024-08-03 | 1 comentários | Compartilhar no WhatsApp

Principais descobertas

  • A Proofpoint observou um aumento na distribuição de malware que explora o TryCloudflare Tunnel
  • Essa atividade tem motivação financeira e distribui trojans de acesso remoto (RATs)
  • Desde a observação inicial, os invasores modificaram táticas, técnicas e procedimentos para evitar detecção e aumentar a eficiência
  • A Proofpoint não atribui essa atividade a um agente de ameaça específico, mas a pesquisa continua

Visão geral

A Proofpoint está rastreando uma atividade cibercriminosa que distribui malware abusando de Cloudflare Tunnels. Em especial, os invasores exploram o recurso TryCloudflare, que permite criar túneis temporários sem criar uma conta. Os túneis permitem acesso remoto a dados e recursos fora da rede local, de forma semelhante a protocolos como VPN ou SSH. Observado pela primeira vez em fevereiro de 2024, esse cluster teve aumento de atividade entre maio e julho, e nos últimos meses a maioria das campanhas resultou no RAT Xworm. Na maioria das campanhas, mensagens com URL ou anexo levam a arquivos de atalho da Internet (.URL). Quando executados, eles se conectam a um compartilhamento externo de arquivos via WebDAV para baixar arquivos LNK ou VBS. Quando executados, os LNK/VBS iniciam arquivos BAT ou CMD para baixar um pacote de instalação do Python e uma série de scripts Python para instalar o malware. Em alguns casos, o manipulador de protocolo search-ms é usado para localizar LNKs no compartilhamento WebDAV. Em geral, as campanhas exibem um PDF inofensivo para parecerem legítimas ao usuário.

Exemplos de campanhas

Campanha AsyncRAT / Xworm em 28 de maio de 2024 A Proofpoint observou em 28 de maio de 2024 uma campanha que distribuía AsyncRAT e Xworm. Nessa campanha, mensagens com tema tributário levavam a arquivos compactados contendo um arquivo URL. A campanha teve como alvo organizações dos setores jurídico e financeiro, com menos de 50 mensagens no total. O arquivo URL apontava para um arquivo LNK remoto. Quando executado, um script auxiliar CMD chamava o PowerShell para baixar um pacote Python compactado e scripts Python. O pacote Python e os scripts levavam à instalação de AsyncRAT e Xworm.

Campanha AsyncRAT / Xworm em 11 de julho de 2024 Os pesquisadores observaram em 11 de julho de 2024 outra campanha que usava túneis da Cloudflare para distribuir AsyncRAT e Xworm. Essa campanha incluiu mais de 1.500 mensagens direcionadas a organizações de vários setores, como finanças, manufatura e tecnologia. Nessa campanha, anexos HTML apontavam para arquivos LNK contendo consultas search-ms. Quando executado, um arquivo BAT ofuscado chamava o PowerShell para baixar um pacote de instalação do Python e scripts que executavam AsyncRAT e Xworm.

Atribuição

Com base nas táticas, técnicas e procedimentos (TTP) observados nas campanhas, a Proofpoint avalia isso como um cluster de atividades relacionadas. Os pesquisadores não atribuíram essa atividade a um agente de ameaça específico, mas a pesquisa continua.

Importância

O uso de túneis da Cloudflare oferece aos invasores flexibilidade para escalar operações usando infraestrutura temporária. Isso dificulta a defesa e medidas tradicionais de segurança que dependem de listas estáticas de bloqueio. Instâncias temporárias da Cloudflare oferecem aos invasores uma forma de baixo custo de preparar ataques, minimizando a exposição à detecção e remoção. Também chama atenção o uso de scripts Python pelos invasores para distribuição de malware. Ao empacotar bibliotecas Python e instaladores executáveis junto com scripts Python, é possível baixar e executar malware até mesmo em hosts onde o Python não estava previamente instalado. As organizações devem restringir o uso de Python quando ele não for necessário para a função de trabalho do indivíduo. Nos últimos meses, a Proofpoint observou campanhas que distribuem malware baseado em Java, incluindo JAR e Java Runtime Environment (JRE) dentro de arquivos ZIP para executar o downloader ou dropper após a instalação do software correto. A cadeia de ataque exige interação significativa da vítima para executar o payload final. Isso dá aos destinatários várias oportunidades de identificar atividade suspeita e interromper a cadeia de ataque.

Assinaturas Emerging Threats

O conjunto de regras Emerging Threats inclui regras para detectar o malware identificado nesta campanha. Exemplos:

  • 2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
  • 2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes
  • 2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes(Client)
  • 2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
  • 2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed

Exemplos de indicadores de comprometimento

Indicador Descrição Primeira observação
spectrum-exactly-knitting-rural[.]trycloudflare[.]com Host Trycloudflare maio de 2024
53c32ea384894526992d010c0c49ffe250d600b9b4472cce86bbd0249f88eada .URL SHA256 maio de 2024
a79fbad625a5254d4f7f39461c2d687a1937f3f83e184bd62670944462b054f7 LNK SHA256 maio de 2024
0f1118b30b2da0b6e82f95d9bbf87101d8298a85287f4de58c9655eb8fecd3c6 CMD SHA256 maio de 2024
157[.]20[.]182[.]172 Xworm C2 IP maio de 2024
dcxwq1[.]duckdns[.]org AsyncRAT C2 maio de 2024
a40f194870b54aeb102089108ecf18b3af9b449066a240f0077ff4edbb556e81 HTML SHA256 julho de 2024
3867de6fc23b11b3122252dcebf81886c25dba4e636dd1a3afed74f937c3b998 LNK SHA256 julho de 2024
ride-fatal-italic-information[.]trycloudflare[.]com Host Trycloudflare julho de 2024
0fccf3d1fb38fa337baf707056f97ef011def859901bb922a4d0a1f25745e64f BAT SHA256 julho de 2024
todfg[.]duckdns[.]org AsyncRAT C2 julho de 2024
welxwrm[.]duckdns[.]org Xworm C2 julho de 2024
xwor3july[.]duckdns[.]org Xworm C2 julho de 2024

Resumo do GN⁺

  • Este artigo aborda o aumento da distribuição de malware que explora túneis da Cloudflare
  • Os invasores usam scripts Python para distribuir malware, o que dificulta detecção e remoção
  • As organizações devem restringir o uso de Python e limitar o acesso a serviços externos de compartilhamento de arquivos
  • Outros projetos com funcionalidades semelhantes incluem várias soluções de segurança

Leituras relacionadas

1 comentários

 
GN⁺ 2024-08-03
Comentários do Hacker News

  • Já passou a época em que malware era servido a partir de domínios .ru suspeitos ou endereços IP

    • Hoje, agentes de ameaça usam infraestrutura como GCP, AWS, Azure e Cloudflare
    • Até VPNs são as mesmas usadas por usuários comuns
    • Endereços IP e nomes de domínio deixaram de ser indicadores de segurança úteis
    • Todo o tráfego e as consultas de nomes estão criptografados, então operadores de rede não conseguem saber a atividade na internet
    • Isso melhora a privacidade e o anonimato, reduz soluções de segurança de rede ineficientes e força a resolver problemas de segurança fundamentais

  • Há um cansaço com manchetes sobre distribuição de malware via encurtadores de link

    • Não é surpreendente que as pessoas possam hospedar arquivos na internet de várias formas

  • O motivo pelo qual o serviço gratuito de envio de e-mails da Cloudflare foi encerrado foi abuso

    • Quando um bom serviço é abusado, acaba sendo descontinuado

  • É possível hospedar páginas da web com payloads maliciosos por meio de Cloudflare Tunnels

    • Não acho que isso tenha valor de notícia

  • Todo produto gratuito de tunelamento acaba virando pago quando é abusado

    • O ngrok também era simples no começo, mas por causa do abuso acabou introduzindo processo de cadastro

  • Escrevi há um ano sobre o uso malicioso do TryCloudflare

    • Como pode ser usado sem conta, é quase impossível rastrear

  • Havia uma vulnerabilidade no recurso de pré-visualização de páginas de erro personalizadas da Cloudflare

    • Era possível capturar credenciais de login
    • Foi corrigido com a adição de um token JWT, mas nenhuma bug bounty foi paga
    • Suspeito que o TryCloudflare também tenha um problema parecido

  • Fico me perguntando o que aconteceu com a ideia das redes distribuídas de confiança da era inicial do PGP

    • Hoje, a confiança parece se formar com base em coisas como número de seguidores em contas de redes sociais

  • Fico me perguntando se programas de segurança de endpoint conseguiriam detectar esse tipo de ataque

    • Acho que não seria detectado, a menos que o atacante reutilize um RAT já conhecido

  • Quando vejo a frase "I hope this message finds you well", o alerta de spam/golpe dispara imediatamente