ผู้ก่อภัยคุกคามใช้ Cloudflare Tunnel ในทางที่ผิดเพื่อกระจาย RAT
(proofpoint.com)- กิจกรรมอาชญากรรมไซเบอร์ที่พบตั้งแต่เดือนกุมภาพันธ์ 2024 ใช้ TryCloudflare Tunnel ในทางที่ผิดเพื่อกระจายมัลแวร์ โดยกิจกรรมเพิ่มขึ้นในช่วงเดือนพฤษภาคม–กรกฎาคม และแคมเปญล่าสุดส่วนใหญ่นำไปสู่ Xworm
- การโจมตีมีลำดับตั้งแต่ URL หรือไฟล์แนบในอีเมลที่พาไปยัง ไฟล์ .URL จากนั้นผ่าน WebDAV, LNK/VBS, BAT/CMD, แพ็กเกจติดตั้ง Python และสคริปต์ ก่อนติดตั้ง RAT
- ในเดือนมิถุนายน–กรกฎาคม Xworm มีสัดส่วนสูง แต่ในแคมเปญก่อนหน้านี้ยังใช้ AsyncRAT, VenomRAT, GuLoader และ Remcos ด้วย และสคริปต์ Python บางตัวติดตั้งเพย์โหลดหลายตัวแยกกัน
- แคมเปญมีขนาดตั้งแต่หลักร้อยถึงหลักหมื่นรายการ ส่งผลกระทบต่อองค์กรทั่วโลกตั้งแต่หลักสิบถึงหลักพันแห่ง และใช้ เหยื่อล่อแนวงานธุรกิจ เช่น ใบแจ้งหนี้ คำขอเอกสาร การจัดส่ง ภาษี รวมถึงหลายภาษา
- โครงสร้างพื้นฐาน Cloudflare แบบชั่วคราวและการบันเดิล Python ทำให้การบล็อกและการเทคดาวน์ยากขึ้น แต่ก่อนจะถึงการรันขั้นสุดท้ายยังต้องอาศัย การโต้ตอบของผู้ใช้ หลายครั้ง เช่น คลิกลิงก์ รันไฟล์ และแตกไฟล์บีบอัด
วิธีใช้ TryCloudflare Tunnel ในทางที่ผิด
- กิจกรรมครั้งนี้เป็น คลัสเตอร์อาชญากรรมไซเบอร์ ที่ใช้ Cloudflare Tunnels เป็นโครงสร้างพื้นฐานสำหรับส่งมัลแวร์
- ฟีเจอร์ที่ผู้โจมตีนำไปใช้ในทางที่ผิดคือ TryCloudflare ซึ่งสามารถสร้างท่อแบบใช้ครั้งเดียวได้โดยไม่ต้องสร้างบัญชี
- Tunnel ทำงานในลักษณะให้เข้าถึงข้อมูลและทรัพยากรจากระยะไกลนอกเครือข่ายภายใน คล้าย VPN หรือ SSH
- ทุกครั้งที่ใช้ TryCloudflare Tunnel จะมีการสร้างซับโดเมนแบบสุ่มของ
trycloudflare[.]com- ตัวอย่าง:
ride-fatal-italic-information[.]trycloudflare[.]com - ทราฟฟิกของซับโดเมนนั้นจะถูกพร็อกซีผ่าน Cloudflare ไปยังเซิร์ฟเวอร์ภายในเครื่องของผู้ดำเนินการ
- ตัวอย่าง:
- การใช้ TryCloudflare Tunnel ในทางที่ผิด เริ่มแพร่หลายตั้งแต่ปี 2023 และมีแนวโน้มเพิ่มขึ้นในหมู่ผู้ก่อภัยคุกคามอาชญากรรมไซเบอร์
เชนการโจมตีและเพย์โหลด
- แคมเปญส่วนใหญ่เริ่มจาก URL ในข้อความหรือไฟล์แนบที่พาไปยัง ไฟล์ .URL ซึ่งเป็นทางลัดอินเทอร์เน็ต
- เมื่อรัน .URL จะเชื่อมต่อไปยังไฟล์แชร์ภายนอกเพื่อดาวน์โหลดไฟล์ LNK หรือ VBS
- ไฟล์แชร์ภายนอกโดยทั่วไปใช้ WebDAV
- การสเตจไฟล์บางส่วนใช้โปรโตคอลแฮนเดลอร์ search-ms เพื่อนำ LNK มาจาก WebDAV share
- จากนั้น LNK/VBS จะรันไฟล์ BAT หรือ CMD และไฟล์นี้จะดาวน์โหลดแพ็กเกจติดตั้ง Python กับสคริปต์ Python หลายตัว ก่อนนำไปสู่การติดตั้งมัลแวร์
- โดยทั่วไปมักแสดง PDF ที่ไม่เป็นอันตราย ควบคู่กันเพื่อให้ผู้ใช้เข้าใจผิดว่าเป็นเอกสารปกติ
- แคมเปญแทบทั้งหมดที่พบในเดือนมิถุนายน–กรกฎาคมส่ง Xworm
- ในแคมเปญก่อนหน้านี้มีการส่ง AsyncRAT, VenomRAT, GuLoader และ Remcos ด้วย
- บางแคมเปญนำไปสู่เพย์โหลดมัลแวร์หลายตัว โดยสคริปต์ Python แต่ละตัวติดตั้งมัลแวร์ต่างชนิดกัน
ขนาดแคมเปญและเหยื่อล่อ
- ปริมาณข้อความในแคมเปญมีตั้งแต่หลักร้อยจนถึงหลักหมื่นรายการ
- ขอบเขตผลกระทบครอบคลุมองค์กรทั่วโลกตั้งแต่หลักสิบถึงหลักพันแห่ง
- ภาษาที่ใช้เป็นเหยื่อล่อพบทั้งภาษาอังกฤษ รวมถึงฝรั่งเศส สเปน และเยอรมัน
- แคมเปญ Xworm, AsyncRAT และ VenomRAT โดยรวมดำเนินการใน ขนาดใหญ่กว่า แคมเปญที่ส่ง Remcos หรือ GuLoader
- หัวข้อเหยื่อล่อมุ่งไปที่เนื้อหาซึ่งมีโอกาสถูกเปิดในบริบทงานธุรกิจ
- ใบแจ้งหนี้
- คำขอเอกสาร
- การจัดส่ง
- ภาษี
การเปลี่ยนแปลงเชิงยุทธวิธีและการหลบเลี่ยงการตรวจจับ
- แม้ยุทธวิธี เทคนิค และขั้นตอนของแคมเปญโดยรวมจะค่อนข้างสม่ำเสมอ แต่ผู้โจมตีพยายามเปลี่ยนบางส่วนของเชนการโจมตีเพื่อเพิ่ม ความซับซ้อนและการหลบเลี่ยงการป้องกัน
- สคริปต์ช่วยเหลือในแคมเปญช่วงแรกแทบไม่มีหรือไม่มีการทำให้โค้ดอ่านยากเลย
- สคริปต์ยังมีคอมเมนต์ที่อธิบายฟังก์ชันของโค้ดอย่างละเอียดด้วย
- ตั้งแต่เดือนมิถุนายน 2024 โค้ดเริ่มมีการ ทำให้สับสน/อ่านยาก
- กิจกรรมนี้ยังไม่ได้ถูกระบุว่าเป็นของผู้ก่อภัยคุกคามที่ติดตามอยู่รายใดเป็นพิเศษ และถูกจัดกลุ่มเป็นคลัสเตอร์กิจกรรมเดียวกันตาม TTP ของแคมเปญที่เกี่ยวข้อง
แคมเปญวันที่ 28 พฤษภาคม 2024
- แคมเปญวันที่ 28 พฤษภาคม 2024 ส่ง AsyncRAT และ Xworm
- ข้อความหัวข้อภาษีมี URL อยู่ภายใน และ URL ดังกล่าวนำไปสู่ ไฟล์ .URL ที่ถูกบีบอัดไว้
- เป้าหมายคือองค์กรด้านกฎหมายและการเงิน โดยมีข้อความทั้งหมดน้อยกว่า 50 รายการ
- ไฟล์ .URL ชี้ไปยังไฟล์ .LNK ระยะไกล
- เมื่อรันแล้ว สคริปต์ช่วยเหลือ CMD จะเรียก PowerShell เพื่อดาวน์โหลดแพ็กเกจ Python ที่ถูกบีบอัดและสคริปต์ Python
- แพ็กเกจ Python และสคริปต์นำไปสู่การติดตั้ง AsyncRAT และ Xworm
แคมเปญวันที่ 11 กรกฎาคม 2024
- แคมเปญวันที่ 11 กรกฎาคม 2024 ใช้ Cloudflare Tunnel เพื่อกระจาย AsyncRAT และ Xworm เช่นกัน
- แคมเปญนี้มีข้อความมากกว่า 1,500 รายการ และมุ่งเป้าองค์กรในหลายภาคส่วน เช่น การเงิน การผลิต และเทคโนโลยี
- ข้อความมีไฟล์แนบ HTML ที่บรรจุ search-ms query ซึ่งชี้ไปยังไฟล์ LNK
- เมื่อรันแล้วจะนำไปสู่ไฟล์ BAT ที่ถูกทำให้อ่านยาก และไฟล์นี้เรียก PowerShell เพื่อดาวน์โหลดแพ็กเกจติดตั้ง Python และสคริปต์
- คอมโพเนนต์ที่ดาวน์โหลดมานำไปสู่การรัน AsyncRAT และ Xworm
ประเด็นสำคัญด้านการป้องกัน
- Cloudflare Tunnel ช่วยให้ผู้โจมตีใช้ โครงสร้างพื้นฐานชั่วคราว เพื่อขยายการปฏิบัติการ และสร้างหรือลบอินสแตนซ์ได้อย่างรวดเร็ว
- อินสแตนซ์ Cloudflare แบบชั่วคราวทำให้มาตรการความปลอดภัยแบบดั้งเดิมที่พึ่งพารายการบล็อกแบบคงที่ รวมถึงฝ่ายป้องกัน เผชิญเงื่อนไขที่ยากขึ้น
- วิธีส่งผ่านสคริปต์ Python ต้องระวังเป็นพิเศษ
- เมื่อบันเดิลไลบรารี Python และตัวติดตั้งที่รันได้มากับสคริปต์ Python จะสามารถดาวน์โหลดและรันมัลแวร์ได้แม้บนโฮสต์ที่ไม่ได้ติดตั้ง Python ไว้ล่วงหน้า
- องค์กรที่ไม่จำเป็นต้องใช้ Python ในงานส่วนบุคคลควรจำกัดการใช้งาน Python
- การส่งแพ็กเกจซอฟต์แวร์พร้อมไฟล์อันตรายไม่ใช่เรื่องใหม่
- เมื่อไม่นานมานี้พบกรณีในแคมเปญมัลแวร์ที่ใช้ Java ซึ่งใส่ JAR และ Java Runtime Environment ไว้ด้วยกันใน ZIP เพื่อให้มีซอฟต์แวร์ที่จำเป็นติดตั้งไว้ก่อนรัน downloader หรือ dropper
- การรันเพย์โหลดขั้นสุดท้ายต้องอาศัยการโต้ตอบจากเหยื่อค่อนข้างมาก
- คลิกลิงก์อันตราย
- ดับเบิลคลิกไฟล์หลายไฟล์ เช่น LNK หรือ VBS
- แตกสคริปต์ที่ถูกบีบอัด
- กระบวนการนี้เปิดโอกาสหลายครั้งให้ผู้รับระบุกิจกรรมที่น่าสงสัยและหยุดเชนการโจมตี
- มีผู้ก่อภัยคุกคามเพิ่มขึ้นที่ใช้ WebDAV และ Server Message Block(SMB) สำหรับการสเตจและส่งเพย์โหลด
- องค์กรควรจำกัดการเข้าถึงบริการไฟล์แชร์ภายนอกให้เฉพาะ เซิร์ฟเวอร์ในรายการอนุญาต ที่รู้จักเท่านั้น
กฎการตรวจจับและตัวชี้วัดการบุกรุก
- Emerging Threats ruleset มีการตรวจจับมัลแวร์ที่ระบุได้ในแคมเปญนี้
- ตัวอย่างกฎ:
2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes (Client)2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed
- ตัวอย่างตัวชี้วัดการบุกรุก:
spectrum-exactly-knitting-rural[.]trycloudflare[.]com: โฮสต์ TryCloudflare, พบครั้งแรกเดือนพฤษภาคม 2024157[.]20[.]182[.]172: IP C2 ของ Xworm, พบครั้งแรกเดือนพฤษภาคม 2024dcxwq1[.]duckdns[.]org: C2 ของ AsyncRAT, พบครั้งแรกเดือนพฤษภาคม 2024ride-fatal-italic-information[.]trycloudflare[.]com: โฮสต์ TryCloudflare, พบครั้งแรกเดือนกรกฎาคม 2024todfg[.]duckdns[.]org: C2 ของ AsyncRAT, พบครั้งแรกเดือนกรกฎาคม 2024welxwrm[.]duckdns[.]org: C2 ของ Xworm, พบครั้งแรกเดือนกรกฎาคม 2024xwor3july[.]duckdns[.]org: C2 ของ Xworm, พบครั้งแรกเดือนกรกฎาคม 2024
ยังไม่มีความคิดเห็น