ผู้ไม่หวังดีใช้ประโยชน์จาก Cloudflare Tunnel เพื่อกระจายโทรจันสำหรับเข้าถึงระยะไกล

 (proofpoint.com)
2 คะแนน โดย GN⁺ 2024-08-03 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

การค้นพบสำคัญ

  • Proofpoint พบว่าการกระจายมัลแวร์ที่อาศัย TryCloudflare Tunnel เพิ่มขึ้น
  • กิจกรรมนี้มีแรงจูงใจทางการเงินและใช้กระจายโทรจันสำหรับเข้าถึงระยะไกล (RATs)
  • หลังจากเริ่มสังเกตกิจกรรมครั้งแรก ผู้โจมตีได้ปรับเปลี่ยนยุทธวิธี เทคนิค และกระบวนการปฏิบัติการ เพื่อหลบเลี่ยงการตรวจจับและเพิ่มประสิทธิภาพ
  • Proofpoint ยังไม่ระบุกิจกรรมนี้ว่าเป็นฝีมือของผู้ไม่หวังดีกลุ่มใดโดยเฉพาะ แต่ยังคงทำการวิจัยต่อไป

ภาพรวม

Proofpoint กำลังติดตามกิจกรรมอาชญากรรมไซเบอร์ที่ใช้ประโยชน์จาก Cloudflare Tunnels เพื่อกระจายมัลแวร์ โดยเฉพาะอย่างยิ่ง ผู้โจมตีใช้ฟีเจอร์ TryCloudflare ในทางที่ผิด ซึ่งช่วยให้สร้าง tunnel แบบใช้ครั้งเดียวได้โดยไม่ต้องสร้างบัญชี Tunnel ช่วยให้เข้าถึงข้อมูลและทรัพยากรที่อยู่นอกเครือข่ายท้องถิ่นได้จากระยะไกล คล้ายกับโปรโตคอล VPN หรือ SSH คลัสเตอร์นี้ถูกพบครั้งแรกในเดือนกุมภาพันธ์ 2024 และมีกิจกรรมเพิ่มขึ้นตั้งแต่เดือนพฤษภาคมถึงกรกฎาคม โดยในช่วงไม่กี่เดือนที่ผ่านมา แคมเปญส่วนใหญ่นำไปสู่ RAT ชื่อ Xworm ในแคมเปญส่วนใหญ่ ข้อความที่มี URL หรือไฟล์แนบจะเชื่อมไปยังไฟล์ internet shortcut (.URL) เมื่อรันแล้ว ไฟล์จะเชื่อมต่อไปยังการแชร์ไฟล์ภายนอกผ่าน WebDAV เพื่อดาวน์โหลดไฟล์ LNK หรือ VBS จากนั้น LNK/VBS จะรันไฟล์ BAT หรือ CMD เพื่อดาวน์โหลดแพ็กเกจติดตั้ง Python และสคริปต์ Python ชุดหนึ่งเพื่อติดตั้งมัลแวร์ ในบางกรณี มีการใช้ search-ms protocol handler เพื่อค้นหา LNK จาก WebDAV share โดยทั่วไปแล้ว แคมเปญเหล่านี้จะแสดงไฟล์ PDF ที่ไม่เป็นอันตรายเพื่อให้ดูเหมือนเป็นไฟล์ที่ถูกต้องตามปกติ

ตัวอย่างแคมเปญ

แคมเปญ AsyncRAT / Xworm วันที่ 28 พฤษภาคม 2024 Proofpoint พบแคมเปญเมื่อวันที่ 28 พฤษภาคม 2024 ที่ใช้กระจาย AsyncRAT และ Xworm ในแคมเปญนี้ ข้อความที่มีธีมเกี่ยวกับภาษีเชื่อมไปยังไฟล์บีบอัดที่มีไฟล์ URL อยู่ภายใน แคมเปญนี้มุ่งเป้าไปยังองค์กรในภาคกฎหมายและการเงิน และมีจำนวนข้อความรวมไม่ถึง 50 ฉบับ ไฟล์ URL ชี้ไปยังไฟล์ LNK ระยะไกล เมื่อรันแล้ว สคริปต์ตัวช่วย CMD จะเรียก PowerShell เพื่อดาวน์โหลดแพ็กเกจ Python แบบบีบอัดและสคริปต์ Python ซึ่งนำไปสู่การติดตั้ง AsyncRAT และ Xworm

แคมเปญ AsyncRAT / Xworm วันที่ 11 กรกฎาคม 2024 นักวิจัยพบอีกหนึ่งแคมเปญเมื่อวันที่ 11 กรกฎาคม 2024 ที่ใช้ Cloudflare tunnel เพื่อกระจาย AsyncRAT และ Xworm แคมเปญนี้มีข้อความมากกว่า 1,500 ฉบับ โดยมุ่งเป้าไปยังองค์กรหลากหลายภาคส่วน เช่น การเงิน การผลิต และเทคโนโลยี ในแคมเปญนี้ ไฟล์แนบ HTML จะชี้ไปยังไฟล์ LNK โดยมี search-ms query รวมอยู่ด้วย เมื่อรันแล้ว ไฟล์ BAT ที่ถูกทำให้สับสนจะเรียก PowerShell เพื่อดาวน์โหลดแพ็กเกจติดตั้ง Python และสคริปต์ ก่อนรัน AsyncRAT และ Xworm

การระบุความเชื่อมโยง

จากยุทธวิธี เทคนิค และกระบวนการปฏิบัติการ (TTP) ที่พบในแคมเปญ Proofpoint ประเมินว่านี่คือหนึ่งคลัสเตอร์ของกิจกรรมที่เกี่ยวข้องกัน นักวิจัยยังไม่ได้ระบุว่ากิจกรรมนี้เป็นฝีมือของผู้ไม่หวังดีกลุ่มใดโดยเฉพาะ แต่การวิจัยยังดำเนินต่อไป

ความสำคัญ

การใช้ Cloudflare tunnel ทำให้ผู้โจมตีมีความยืดหยุ่นในการใช้อินฟราสตรักเจอร์ชั่วคราวเพื่อขยายการปฏิบัติการ ซึ่งทำให้ฝ่ายป้องกันและมาตรการความปลอดภัยแบบดั้งเดิมที่พึ่งพารายการบล็อกแบบคงที่รับมือได้ยาก อินสแตนซ์ Cloudflare แบบชั่วคราวยังเป็นวิธีต้นทุนต่ำที่ช่วยให้ผู้โจมตีเตรียมการโจมตีได้โดยลดการเปิดเผยต่อการตรวจจับและการกำจัดให้น้อยที่สุด การที่ผู้โจมตีใช้สคริปต์ Python ในการกระจายมัลแวร์ถือว่าน่าสนใจ เมื่อแพ็กเกจไลบรารี Python และตัวติดตั้งไฟล์ปฏิบัติการถูกรวมมากับสคริปต์ Python ก็สามารถดาวน์โหลดและรันมัลแวร์ได้แม้บนโฮสต์ที่ไม่เคยติดตั้ง Python มาก่อน องค์กรควรจำกัดการใช้งาน Python หากไม่จำเป็นต่อหน้าที่การงานของบุคคลนั้น ในช่วงไม่กี่เดือนที่ผ่านมา Proofpoint ยังพบแคมเปญที่กระจายมัลแวร์ที่พัฒนาด้วย Java โดยบรรจุ JAR และ Java Runtime Environment (JRE) ไว้ใน ZIP เพื่อให้สามารถรัน downloader หรือ dropper ได้หลังติดตั้งซอฟต์แวร์ที่จำเป็นครบถ้วน ห่วงโซ่การโจมตีนี้ต้องอาศัยการโต้ตอบจากเหยื่ออย่างมากจึงจะรัน payload สุดท้ายได้ ซึ่งเปิดโอกาสหลายจุดให้ผู้รับสามารถระบุกิจกรรมที่น่าสงสัยและขัดขวางห่วงโซ่การโจมตีได้

ลายเซ็น Emerging Threats

ชุดกฎ Emerging Threats มีรวมกฎสำหรับตรวจจับมัลแวร์ที่ระบุได้ในแคมเปญนี้ ตัวอย่าง:

  • 2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
  • 2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes
  • 2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes(Client)
  • 2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
  • 2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed

ตัวอย่างตัวบ่งชี้การบุกรุก

ตัวบ่งชี้ คำอธิบาย พบครั้งแรก
spectrum-exactly-knitting-rural[.]trycloudflare[.]com โฮสต์ Trycloudflare พฤษภาคม 2024
53c32ea384894526992d010c0c49ffe250d600b9b4472cce86bbd0249f88eada .URL SHA256 พฤษภาคม 2024
a79fbad625a5254d4f7f39461c2d687a1937f3f83e184bd62670944462b054f7 LNK SHA256 พฤษภาคม 2024
0f1118b30b2da0b6e82f95d9bbf87101d8298a85287f4de58c9655eb8fecd3c6 CMD SHA256 พฤษภาคม 2024
157[.]20[.]182[.]172 Xworm C2 IP พฤษภาคม 2024
dcxwq1[.]duckdns[.]org AsyncRAT C2 พฤษภาคม 2024
a40f194870b54aeb102089108ecf18b3af9b449066a240f0077ff4edbb556e81 HTML SHA256 กรกฎาคม 2024
3867de6fc23b11b3122252dcebf81886c25dba4e636dd1a3afed74f937c3b998 LNK SHA256 กรกฎาคม 2024
ride-fatal-italic-information[.]trycloudflare[.]com โฮสต์ Trycloudflare กรกฎาคม 2024
0fccf3d1fb38fa337baf707056f97ef011def859901bb922a4d0a1f25745e64f BAT SHA256 กรกฎาคม 2024
todfg[.]duckdns[.]org AsyncRAT C2 กรกฎาคม 2024
welxwrm[.]duckdns[.]org Xworm C2 กรกฎาคม 2024
xwor3july[.]duckdns[.]org Xworm C2 กรกฎาคม 2024

สรุปโดย GN⁺

  • บทความนี้กล่าวถึงการเพิ่มขึ้นของการกระจายมัลแวร์ที่อาศัย Cloudflare tunnel
  • ผู้โจมตีใช้สคริปต์ Python เพื่อกระจายมัลแวร์ ซึ่งทำให้ตรวจจับและกำจัดได้ยากขึ้น
  • องค์กรควรจำกัดการใช้ Python และจำกัดการเข้าถึงบริการแชร์ไฟล์ภายนอก
  • โครงการอื่นที่มีความสามารถคล้ายกันมีอยู่ในกลุ่มโซลูชันด้านความปลอดภัยหลากหลายแบบ

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-08-03
ความคิดเห็นจาก Hacker News

  • หมดยุคที่มัลแวร์ถูกให้บริการจากโดเมน .ru หรือตำแหน่ง IP ที่น่าสงสัยแล้ว

    • ปัจจุบันผู้ไม่หวังดีใช้โครงสร้างพื้นฐานอย่าง GCP, AWS, Azure, Cloudflare และอื่น ๆ
    • แม้แต่ VPN ก็ใช้แบบเดียวกับผู้ใช้ทั่วไป
    • ที่อยู่ IP และชื่อโดเมนจึงไม่ค่อยมีประโยชน์ในฐานะตัวชี้วัดด้านความปลอดภัยอีกต่อไป
    • ทราฟฟิกทั้งหมดและการค้นหาชื่อถูกเข้ารหัส ทำให้ผู้ดูแลเครือข่ายไม่สามารถรู้กิจกรรมบนอินเทอร์เน็ตได้
    • สิ่งนี้ช่วยปรับปรุงความเป็นส่วนตัวและการไม่เปิดเผยตัวตน ลดโซลูชันความปลอดภัยเครือข่ายที่ไม่มีประสิทธิภาพ และบีบให้ต้องแก้ปัญหาความปลอดภัยที่ต้นตอ

  • เริ่มรู้สึกล้ากับพาดหัวข่าวเรื่องการแจกจ่ายมัลแวร์ผ่านลิงก์ย่อ

    • การที่ผู้คนสามารถโฮสต์ไฟล์บนอินเทอร์เน็ตได้หลากหลายวิธีไม่ใช่เรื่องน่าแปลกใจ

  • สาเหตุที่บริการส่งอีเมลฟรีของ Cloudflare ถูกยุติ คือการถูกนำไปใช้ในทางที่ผิด

    • เมื่อบริการดี ๆ ถูกนำไปใช้ผิดวัตถุประสงค์ สุดท้ายก็เลี่ยงไม่ได้ที่จะต้องยุติ

  • สามารถโฮสต์หน้าเว็บที่มีเพย์โหลดอันตรายผ่าน Cloudflare Tunnel ได้

    • คิดว่าไม่ใช่ข่าวที่มีคุณค่าข่าวสารนัก

  • ผลิตภัณฑ์ tunneling ฟรีทุกตัว หากถูกนำไปใช้ในทางที่ผิด สุดท้ายก็จะกลายเป็นแบบเสียเงิน

    • ngrok เองตอนแรกก็ใช้ง่าย แต่เพราะการใช้งานในทางที่ผิดจึงต้องเพิ่มขั้นตอนสมัครใช้งาน

  • เคยเขียนเกี่ยวกับการใช้งาน TryCloudflare ในทางอันตรายไว้เมื่อ 1 ปีก่อน

    • เพราะใช้งานได้โดยไม่ต้องมีบัญชี จึงแทบติดตามไม่ได้เลย

  • เคยมีช่องโหว่ในฟีเจอร์พรีวิวหน้า error แบบกำหนดเองของ Cloudflare

    • สามารถดักจับข้อมูลรับรองการล็อกอินได้
    • มีการแก้ไขด้วยการเพิ่ม JWT token แต่ไม่ได้รับ bug bounty
    • สงสัยว่า TryCloudflare ก็น่าจะมีปัญหาคล้ายกัน

  • สงสัยว่าแนวคิดเครือข่ายความเชื่อถือแบบกระจายตัวในยุคแรกของ PGP หายไปไหนแล้ว

    • ตอนนี้ความน่าเชื่อถือถูกสร้างขึ้นจากสิ่งอย่างจำนวนผู้ติดตามในบัญชีโซเชียลมีเดีย

  • สงสัยว่าโปรแกรมความปลอดภัยฝั่งเอนด์พอยต์จะตรวจจับการโจมตีประเภทนี้ได้หรือไม่

    • คิดว่าถ้าผู้โจมตีไม่ได้เอา RAT ที่เป็นที่รู้จักมาใช้ซ้ำ ก็คงตรวจจับไม่ได้

  • ถ้าเห็นวลี "I hope this message finds you well" ก็จะมีสัญญาณเตือนสแปม/หลอกลวงดังขึ้นทันที