• กิจกรรมอาชญากรรมไซเบอร์ที่พบตั้งแต่เดือนกุมภาพันธ์ 2024 ใช้ TryCloudflare Tunnel ในทางที่ผิดเพื่อกระจายมัลแวร์ โดยกิจกรรมเพิ่มขึ้นในช่วงเดือนพฤษภาคม–กรกฎาคม และแคมเปญล่าสุดส่วนใหญ่นำไปสู่ Xworm
  • การโจมตีมีลำดับตั้งแต่ URL หรือไฟล์แนบในอีเมลที่พาไปยัง ไฟล์ .URL จากนั้นผ่าน WebDAV, LNK/VBS, BAT/CMD, แพ็กเกจติดตั้ง Python และสคริปต์ ก่อนติดตั้ง RAT
  • ในเดือนมิถุนายน–กรกฎาคม Xworm มีสัดส่วนสูง แต่ในแคมเปญก่อนหน้านี้ยังใช้ AsyncRAT, VenomRAT, GuLoader และ Remcos ด้วย และสคริปต์ Python บางตัวติดตั้งเพย์โหลดหลายตัวแยกกัน
  • แคมเปญมีขนาดตั้งแต่หลักร้อยถึงหลักหมื่นรายการ ส่งผลกระทบต่อองค์กรทั่วโลกตั้งแต่หลักสิบถึงหลักพันแห่ง และใช้ เหยื่อล่อแนวงานธุรกิจ เช่น ใบแจ้งหนี้ คำขอเอกสาร การจัดส่ง ภาษี รวมถึงหลายภาษา
  • โครงสร้างพื้นฐาน Cloudflare แบบชั่วคราวและการบันเดิล Python ทำให้การบล็อกและการเทคดาวน์ยากขึ้น แต่ก่อนจะถึงการรันขั้นสุดท้ายยังต้องอาศัย การโต้ตอบของผู้ใช้ หลายครั้ง เช่น คลิกลิงก์ รันไฟล์ และแตกไฟล์บีบอัด

วิธีใช้ TryCloudflare Tunnel ในทางที่ผิด

  • กิจกรรมครั้งนี้เป็น คลัสเตอร์อาชญากรรมไซเบอร์ ที่ใช้ Cloudflare Tunnels เป็นโครงสร้างพื้นฐานสำหรับส่งมัลแวร์
  • ฟีเจอร์ที่ผู้โจมตีนำไปใช้ในทางที่ผิดคือ TryCloudflare ซึ่งสามารถสร้างท่อแบบใช้ครั้งเดียวได้โดยไม่ต้องสร้างบัญชี
  • Tunnel ทำงานในลักษณะให้เข้าถึงข้อมูลและทรัพยากรจากระยะไกลนอกเครือข่ายภายใน คล้าย VPN หรือ SSH
  • ทุกครั้งที่ใช้ TryCloudflare Tunnel จะมีการสร้างซับโดเมนแบบสุ่มของ trycloudflare[.]com
    • ตัวอย่าง: ride-fatal-italic-information[.]trycloudflare[.]com
    • ทราฟฟิกของซับโดเมนนั้นจะถูกพร็อกซีผ่าน Cloudflare ไปยังเซิร์ฟเวอร์ภายในเครื่องของผู้ดำเนินการ
  • การใช้ TryCloudflare Tunnel ในทางที่ผิด เริ่มแพร่หลายตั้งแต่ปี 2023 และมีแนวโน้มเพิ่มขึ้นในหมู่ผู้ก่อภัยคุกคามอาชญากรรมไซเบอร์

เชนการโจมตีและเพย์โหลด

  • แคมเปญส่วนใหญ่เริ่มจาก URL ในข้อความหรือไฟล์แนบที่พาไปยัง ไฟล์ .URL ซึ่งเป็นทางลัดอินเทอร์เน็ต
  • เมื่อรัน .URL จะเชื่อมต่อไปยังไฟล์แชร์ภายนอกเพื่อดาวน์โหลดไฟล์ LNK หรือ VBS
    • ไฟล์แชร์ภายนอกโดยทั่วไปใช้ WebDAV
    • การสเตจไฟล์บางส่วนใช้โปรโตคอลแฮนเดลอร์ search-ms เพื่อนำ LNK มาจาก WebDAV share
  • จากนั้น LNK/VBS จะรันไฟล์ BAT หรือ CMD และไฟล์นี้จะดาวน์โหลดแพ็กเกจติดตั้ง Python กับสคริปต์ Python หลายตัว ก่อนนำไปสู่การติดตั้งมัลแวร์
  • โดยทั่วไปมักแสดง PDF ที่ไม่เป็นอันตราย ควบคู่กันเพื่อให้ผู้ใช้เข้าใจผิดว่าเป็นเอกสารปกติ
  • แคมเปญแทบทั้งหมดที่พบในเดือนมิถุนายน–กรกฎาคมส่ง Xworm
    • ในแคมเปญก่อนหน้านี้มีการส่ง AsyncRAT, VenomRAT, GuLoader และ Remcos ด้วย
    • บางแคมเปญนำไปสู่เพย์โหลดมัลแวร์หลายตัว โดยสคริปต์ Python แต่ละตัวติดตั้งมัลแวร์ต่างชนิดกัน

ขนาดแคมเปญและเหยื่อล่อ

  • ปริมาณข้อความในแคมเปญมีตั้งแต่หลักร้อยจนถึงหลักหมื่นรายการ
  • ขอบเขตผลกระทบครอบคลุมองค์กรทั่วโลกตั้งแต่หลักสิบถึงหลักพันแห่ง
  • ภาษาที่ใช้เป็นเหยื่อล่อพบทั้งภาษาอังกฤษ รวมถึงฝรั่งเศส สเปน และเยอรมัน
  • แคมเปญ Xworm, AsyncRAT และ VenomRAT โดยรวมดำเนินการใน ขนาดใหญ่กว่า แคมเปญที่ส่ง Remcos หรือ GuLoader
  • หัวข้อเหยื่อล่อมุ่งไปที่เนื้อหาซึ่งมีโอกาสถูกเปิดในบริบทงานธุรกิจ
    • ใบแจ้งหนี้
    • คำขอเอกสาร
    • การจัดส่ง
    • ภาษี

การเปลี่ยนแปลงเชิงยุทธวิธีและการหลบเลี่ยงการตรวจจับ

  • แม้ยุทธวิธี เทคนิค และขั้นตอนของแคมเปญโดยรวมจะค่อนข้างสม่ำเสมอ แต่ผู้โจมตีพยายามเปลี่ยนบางส่วนของเชนการโจมตีเพื่อเพิ่ม ความซับซ้อนและการหลบเลี่ยงการป้องกัน
  • สคริปต์ช่วยเหลือในแคมเปญช่วงแรกแทบไม่มีหรือไม่มีการทำให้โค้ดอ่านยากเลย
    • สคริปต์ยังมีคอมเมนต์ที่อธิบายฟังก์ชันของโค้ดอย่างละเอียดด้วย
  • ตั้งแต่เดือนมิถุนายน 2024 โค้ดเริ่มมีการ ทำให้สับสน/อ่านยาก
  • กิจกรรมนี้ยังไม่ได้ถูกระบุว่าเป็นของผู้ก่อภัยคุกคามที่ติดตามอยู่รายใดเป็นพิเศษ และถูกจัดกลุ่มเป็นคลัสเตอร์กิจกรรมเดียวกันตาม TTP ของแคมเปญที่เกี่ยวข้อง

แคมเปญวันที่ 28 พฤษภาคม 2024

  • แคมเปญวันที่ 28 พฤษภาคม 2024 ส่ง AsyncRAT และ Xworm
  • ข้อความหัวข้อภาษีมี URL อยู่ภายใน และ URL ดังกล่าวนำไปสู่ ไฟล์ .URL ที่ถูกบีบอัดไว้
  • เป้าหมายคือองค์กรด้านกฎหมายและการเงิน โดยมีข้อความทั้งหมดน้อยกว่า 50 รายการ
  • ไฟล์ .URL ชี้ไปยังไฟล์ .LNK ระยะไกล
  • เมื่อรันแล้ว สคริปต์ช่วยเหลือ CMD จะเรียก PowerShell เพื่อดาวน์โหลดแพ็กเกจ Python ที่ถูกบีบอัดและสคริปต์ Python
  • แพ็กเกจ Python และสคริปต์นำไปสู่การติดตั้ง AsyncRAT และ Xworm

แคมเปญวันที่ 11 กรกฎาคม 2024

  • แคมเปญวันที่ 11 กรกฎาคม 2024 ใช้ Cloudflare Tunnel เพื่อกระจาย AsyncRAT และ Xworm เช่นกัน
  • แคมเปญนี้มีข้อความมากกว่า 1,500 รายการ และมุ่งเป้าองค์กรในหลายภาคส่วน เช่น การเงิน การผลิต และเทคโนโลยี
  • ข้อความมีไฟล์แนบ HTML ที่บรรจุ search-ms query ซึ่งชี้ไปยังไฟล์ LNK
  • เมื่อรันแล้วจะนำไปสู่ไฟล์ BAT ที่ถูกทำให้อ่านยาก และไฟล์นี้เรียก PowerShell เพื่อดาวน์โหลดแพ็กเกจติดตั้ง Python และสคริปต์
  • คอมโพเนนต์ที่ดาวน์โหลดมานำไปสู่การรัน AsyncRAT และ Xworm

ประเด็นสำคัญด้านการป้องกัน

  • Cloudflare Tunnel ช่วยให้ผู้โจมตีใช้ โครงสร้างพื้นฐานชั่วคราว เพื่อขยายการปฏิบัติการ และสร้างหรือลบอินสแตนซ์ได้อย่างรวดเร็ว
  • อินสแตนซ์ Cloudflare แบบชั่วคราวทำให้มาตรการความปลอดภัยแบบดั้งเดิมที่พึ่งพารายการบล็อกแบบคงที่ รวมถึงฝ่ายป้องกัน เผชิญเงื่อนไขที่ยากขึ้น
  • วิธีส่งผ่านสคริปต์ Python ต้องระวังเป็นพิเศษ
    • เมื่อบันเดิลไลบรารี Python และตัวติดตั้งที่รันได้มากับสคริปต์ Python จะสามารถดาวน์โหลดและรันมัลแวร์ได้แม้บนโฮสต์ที่ไม่ได้ติดตั้ง Python ไว้ล่วงหน้า
    • องค์กรที่ไม่จำเป็นต้องใช้ Python ในงานส่วนบุคคลควรจำกัดการใช้งาน Python
  • การส่งแพ็กเกจซอฟต์แวร์พร้อมไฟล์อันตรายไม่ใช่เรื่องใหม่
    • เมื่อไม่นานมานี้พบกรณีในแคมเปญมัลแวร์ที่ใช้ Java ซึ่งใส่ JAR และ Java Runtime Environment ไว้ด้วยกันใน ZIP เพื่อให้มีซอฟต์แวร์ที่จำเป็นติดตั้งไว้ก่อนรัน downloader หรือ dropper
  • การรันเพย์โหลดขั้นสุดท้ายต้องอาศัยการโต้ตอบจากเหยื่อค่อนข้างมาก
    • คลิกลิงก์อันตราย
    • ดับเบิลคลิกไฟล์หลายไฟล์ เช่น LNK หรือ VBS
    • แตกสคริปต์ที่ถูกบีบอัด
    • กระบวนการนี้เปิดโอกาสหลายครั้งให้ผู้รับระบุกิจกรรมที่น่าสงสัยและหยุดเชนการโจมตี
  • มีผู้ก่อภัยคุกคามเพิ่มขึ้นที่ใช้ WebDAV และ Server Message Block(SMB) สำหรับการสเตจและส่งเพย์โหลด
  • องค์กรควรจำกัดการเข้าถึงบริการไฟล์แชร์ภายนอกให้เฉพาะ เซิร์ฟเวอร์ในรายการอนุญาต ที่รู้จักเท่านั้น

กฎการตรวจจับและตัวชี้วัดการบุกรุก

  • Emerging Threats ruleset มีการตรวจจับมัลแวร์ที่ระบุได้ในแคมเปญนี้
  • ตัวอย่างกฎ:
    • 2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
    • 2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes
    • 2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes (Client)
    • 2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
    • 2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed
  • ตัวอย่างตัวชี้วัดการบุกรุก:
    • spectrum-exactly-knitting-rural[.]trycloudflare[.]com: โฮสต์ TryCloudflare, พบครั้งแรกเดือนพฤษภาคม 2024
    • 157[.]20[.]182[.]172: IP C2 ของ Xworm, พบครั้งแรกเดือนพฤษภาคม 2024
    • dcxwq1[.]duckdns[.]org: C2 ของ AsyncRAT, พบครั้งแรกเดือนพฤษภาคม 2024
    • ride-fatal-italic-information[.]trycloudflare[.]com: โฮสต์ TryCloudflare, พบครั้งแรกเดือนกรกฎาคม 2024
    • todfg[.]duckdns[.]org: C2 ของ AsyncRAT, พบครั้งแรกเดือนกรกฎาคม 2024
    • welxwrm[.]duckdns[.]org: C2 ของ Xworm, พบครั้งแรกเดือนกรกฎาคม 2024
    • xwor3july[.]duckdns[.]org: C2 ของ Xworm, พบครั้งแรกเดือนกรกฎาคม 2024

ยังไม่มีความคิดเห็น

ยังไม่มีความคิดเห็น