Aktor Ancaman Menyalahgunakan Cloudflare Tunnel untuk Menyebarkan Trojan Akses Jarak Jauh

 (proofpoint.com)
2 poin oleh GN⁺ 2024-08-03 | 1 komentar | Bagikan ke WhatsApp

Temuan utama

  • Proofpoint mengamati peningkatan distribusi malware yang menyalahgunakan TryCloudflare Tunnel
  • Aktivitas ini bermotif finansial dan menyebarkan remote access trojan (RAT)
  • Sejak pengamatan awal, para penyerang telah memodifikasi taktik, teknik, dan prosedur untuk menghindari deteksi dan meningkatkan efisiensi
  • Proofpoint tidak mengatribusikan aktivitas ini ke aktor ancaman tertentu, tetapi penelitian masih berlangsung

Ikhtisar

Proofpoint sedang melacak aktivitas kejahatan siber yang menyalahgunakan Cloudflare Tunnels untuk menyebarkan malware. Secara khusus, penyerang menyalahgunakan fitur TryCloudflare yang memungkinkan pembuatan tunnel sekali pakai tanpa membuat akun. Tunnel memungkinkan akses jarak jauh ke data dan sumber daya yang tidak berada di jaringan lokal, mirip seperti protokol VPN atau SSH. Klaster ini pertama kali diamati pada Februari 2024, aktivitasnya meningkat dari Mei hingga Juli, dan dalam beberapa bulan terakhir sebagian besar kampanye berujung pada RAT bernama Xworm. Dalam sebagian besar kampanye, pesan yang berisi URL atau lampiran mengarah ke file Internet Shortcut (.URL). Saat dijalankan, file tersebut terhubung ke file share eksternal melalui WebDAV untuk mengunduh file LNK atau VBS. Ketika dijalankan, LNK/VBS mengeksekusi file BAT atau CMD untuk mengunduh paket instalasi Python dan serangkaian skrip Python guna memasang malware. Dalam beberapa kasus, penyerang menggunakan search-ms protocol handler untuk mencari LNK dari share WebDAV. Umumnya, kampanye menampilkan PDF tidak berbahaya agar terlihat sah bagi pengguna.

Contoh kampanye

Kampanye AsyncRAT / Xworm 28 Mei 2024 Proofpoint mengamati kampanye yang menyebarkan AsyncRAT dan Xworm pada 28 Mei 2024. Dalam kampanye ini, pesan bertema pajak mengarah ke file arsip terkompresi yang berisi file URL. Kampanye ini menargetkan organisasi di sektor hukum dan keuangan, dengan total kurang dari 50 pesan. File URL tersebut menunjuk ke file LNK jarak jauh. Saat dijalankan, skrip helper CMD memanggil PowerShell untuk mengunduh paket Python terkompresi dan skrip Python. Paket dan skrip Python tersebut berujung pada instalasi AsyncRAT dan Xworm.

Kampanye AsyncRAT / Xworm 11 Juli 2024 Para peneliti mengamati kampanye lain pada 11 Juli 2024 yang memanfaatkan Cloudflare tunnel untuk menyebarkan AsyncRAT dan Xworm. Kampanye ini menargetkan organisasi di berbagai sektor, termasuk keuangan, manufaktur, dan teknologi, serta mencakup lebih dari 1.500 pesan. Dalam kampanye ini, lampiran HTML yang berisi kueri search-ms menunjuk ke file LNK. Saat dijalankan, file BAT yang diobfusksi memanggil PowerShell untuk mengunduh paket instalasi Python dan skrip yang kemudian menjalankan AsyncRAT dan Xworm.

Atribusi

Berdasarkan taktik, teknik, dan prosedur (TTP) yang diamati dalam kampanye, Proofpoint menilai ini sebagai satu klaster dari aktivitas yang saling terkait. Para peneliti belum mengatribusikan aktivitas ini ke aktor ancaman tertentu, tetapi penelitian masih berlangsung.

Pentingnya

Penggunaan Cloudflare tunnel memberi penyerang fleksibilitas untuk memperluas operasi dengan infrastruktur sementara. Hal ini mempersulit defender dan langkah keamanan tradisional yang bergantung pada blocklist statis. Instance Cloudflare sementara memberi penyerang cara berbiaya rendah untuk menyiapkan serangan sambil meminimalkan paparan terhadap deteksi dan penghapusan. Penggunaan skrip Python oleh penyerang untuk distribusi malware juga patut diperhatikan. Dengan mengemas library Python dan installer executable bersama skrip Python, mereka dapat mengunduh dan menjalankan malware bahkan pada host yang sebelumnya belum memasang Python. Organisasi sebaiknya membatasi penggunaan Python jika tidak diperlukan untuk fungsi kerja individu. Dalam beberapa bulan terakhir, Proofpoint juga mengamati kampanye yang menyebarkan malware berbasis Java, dengan menyertakan JAR dan Java Runtime Environment (JRE) di dalam ZIP agar downloader atau dropper dapat dijalankan setelah perangkat lunak yang benar terpasang. Rantai serangan ini memerlukan interaksi yang cukup besar dari korban untuk menjalankan payload akhir. Ini memberi beberapa peluang bagi penerima untuk mengenali aktivitas mencurigakan dan mengganggu rantai serangan.

Tanda tangan Emerging Threats

Rule set Emerging Threats mencakup aturan untuk mendeteksi malware yang diidentifikasi dalam kampanye ini. Contoh:

  • 2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
  • 2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes
  • 2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes(Client)
  • 2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
  • 2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed

Contoh indikator kompromi

Indikator Deskripsi Pertama kali diamati
spectrum-exactly-knitting-rural[.]trycloudflare[.]com Host Trycloudflare Mei 2024
53c32ea384894526992d010c0c49ffe250d600b9b4472cce86bbd0249f88eada SHA256 .URL Mei 2024
a79fbad625a5254d4f7f39461c2d687a1937f3f83e184bd62670944462b054f7 SHA256 LNK Mei 2024
0f1118b30b2da0b6e82f95d9bbf87101d8298a85287f4de58c9655eb8fecd3c6 SHA256 CMD Mei 2024
157[.]20[.]182[.]172 IP C2 Xworm Mei 2024
dcxwq1[.]duckdns[.]org C2 AsyncRAT Mei 2024
a40f194870b54aeb102089108ecf18b3af9b449066a240f0077ff4edbb556e81 SHA256 HTML Juli 2024
3867de6fc23b11b3122252dcebf81886c25dba4e636dd1a3afed74f937c3b998 SHA256 LNK Juli 2024
ride-fatal-italic-information[.]trycloudflare[.]com Host Trycloudflare Juli 2024
0fccf3d1fb38fa337baf707056f97ef011def859901bb922a4d0a1f25745e64f SHA256 BAT Juli 2024
todfg[.]duckdns[.]org C2 AsyncRAT Juli 2024
welxwrm[.]duckdns[.]org C2 Xworm Juli 2024
xwor3july[.]duckdns[.]org C2 Xworm Juli 2024

Ringkasan GN⁺

  • Artikel ini membahas peningkatan distribusi malware yang menyalahgunakan Cloudflare tunnel
  • Para penyerang menggunakan skrip Python untuk menyebarkan malware, yang membuat deteksi dan penghapusan menjadi lebih sulit
  • Organisasi perlu membatasi penggunaan Python dan membatasi akses ke layanan file sharing eksternal
  • Proyek lain dengan fungsi serupa mencakup berbagai solusi keamanan

Bacaan terkait

1 komentar

 
GN⁺ 2024-08-03
Komentar Hacker News

  • Masa ketika malware disajikan dari domain .ru atau alamat IP yang mencurigakan sudah lewat

    • Kini pelaku ancaman menggunakan infrastruktur seperti GCP, AWS, Azure, dan Cloudflare
    • VPN yang digunakan juga sama seperti yang dipakai pengguna biasa
    • Alamat IP dan nama domain jadi tidak lagi berguna sebagai indikator keamanan
    • Semua lalu lintas dan kueri nama dienkripsi sehingga operator jaringan tidak bisa mengetahui aktivitas internet
    • Ini meningkatkan privasi dan anonimitas, mengurangi solusi keamanan jaringan yang tidak efisien, dan memaksa penyelesaian masalah keamanan yang mendasar

  • Merasa lelah dengan judul tentang distribusi malware melalui pemendek tautan

    • Bukan hal yang mengejutkan bahwa orang bisa meng-host file di internet dengan berbagai cara

  • Alasan layanan pengiriman email gratis Cloudflare dihentikan adalah karena penyalahgunaan

    • Jika layanan yang bagus disalahgunakan, pada akhirnya memang akan dihentikan

  • Halaman web yang berisi payload berbahaya bisa di-host melalui Cloudflare Tunnel

    • Menurut saya ini tidak punya nilai berita

  • Jika semua produk tunneling gratis disalahgunakan, pada akhirnya akan menjadi berbayar

    • ngrok awalnya juga praktis, tetapi karena penyalahgunaan akhirnya memperkenalkan proses pendaftaran

  • Pernah menulis tentang penggunaan jahat TryCloudflare setahun lalu

    • Karena bisa digunakan tanpa akun, pelacakannya hampir mustahil

  • Pernah ada kerentanan pada fitur pratinjau halaman error kustom Cloudflare

    • Kredensial login bisa ditangkap
    • Sudah diperbaiki dengan menambahkan token JWT, tetapi bug bounty tidak dibayarkan
    • Mencurigai TryCloudflare juga memiliki masalah serupa

  • Penasaran apa yang terjadi dengan gagasan jaringan kepercayaan terdistribusi pada era awal PGP

    • Saat ini kepercayaan terbentuk berdasarkan hal-hal seperti jumlah pengikut akun media sosial

  • Penasaran apakah program keamanan endpoint bisa mendeteksi jenis serangan seperti ini

    • Sepertinya tidak akan terdeteksi kecuali penyerang menggunakan ulang RAT yang sudah dikenal

  • Begitu melihat frasa "I hope this message finds you well", alarm spam/penipuan langsung berbunyi