- Aktivitas kejahatan siber yang diamati sejak Februari 2024 menyalahgunakan TryCloudflare Tunnel untuk menyebarkan malware; aktivitas meningkat pada Mei–Juli dan kampanye terbaru sebagian besar berujung pada Xworm
- Serangan dimulai dari URL atau lampiran dalam email yang mengarahkan ke file .URL, lalu melalui WebDAV, LNK/VBS, BAT/CMD, paket instalasi Python, dan skrip untuk memasang RAT
- Pada Juni–Juli, porsi Xworm tinggi, tetapi kampanye sebelumnya juga menggunakan AsyncRAT, VenomRAT, GuLoader, dan Remcos; sebagian skrip Python memasang beberapa payload secara terpisah
- Kampanye berkisar dari ratusan hingga puluhan ribu pesan dan berdampak pada puluhan hingga ribuan organisasi di seluruh dunia, menggunakan umpan bertema pekerjaan seperti faktur, permintaan dokumen, pengiriman, dan pajak dalam berbagai bahasa
- Infrastruktur Cloudflare sementara dan bundling Python menyulitkan pemblokiran serta takedown, tetapi sebelum eksekusi akhir tetap diperlukan beberapa kali interaksi pengguna seperti mengklik tautan, menjalankan file, dan mengekstrak arsip
Cara Penyalahgunaan TryCloudflare Tunnel
- Aktivitas ini merupakan klaster kejahatan siber yang memanfaatkan Cloudflare Tunnels sebagai infrastruktur pengiriman malware
- Fitur yang disalahgunakan penyerang adalah TryCloudflare, yang memungkinkan pembuatan tunnel sekali pakai tanpa membuat akun
- Tunnel bekerja seperti VPN atau SSH, yaitu menyediakan akses jarak jauh ke data dan resource di luar jaringan lokal
- Setiap kali TryCloudflare Tunnel digunakan, subdomain acak dari
trycloudflare[.]comdibuat- Contoh:
ride-fatal-italic-information[.]trycloudflare[.]com - Trafik ke subdomain tersebut diproksikan melalui Cloudflare ke server lokal milik operator
- Contoh:
- Penyalahgunaan TryCloudflare Tunnel mulai digunakan secara luas pada 2023 dan trennya meningkat di kalangan pelaku ancaman kejahatan siber
Rantai Serangan dan Payload
- Sebagian besar kampanye menggunakan URL di dalam pesan atau lampiran yang mengarah ke file .URL pintasan internet
- Saat .URL dijalankan, file tersebut terhubung ke layanan berbagi file eksternal untuk mengunduh file LNK atau VBS
- Layanan berbagi file eksternal umumnya menggunakan WebDAV
- Sebagian staging file mengambil LNK dari share WebDAV melalui handler protokol search-ms
- Setelah itu LNK/VBS menjalankan file BAT atau CMD, yang kemudian mengunduh paket instalasi Python dan beberapa skrip Python untuk memasang malware
- Umumnya, PDF yang tidak berbahaya juga ditampilkan agar pengguna mengira itu dokumen normal
- Hampir semua kampanye yang diamati pada Juni–Juli mengirimkan Xworm
- Kampanye sebelumnya juga mengirimkan AsyncRAT, VenomRAT, GuLoader, dan Remcos
- Sebagian kampanye berujung pada beberapa payload berbahaya, dengan tiap skrip Python memasang malware yang berbeda
Skala Kampanye dan Umpan
- Ukuran pesan kampanye bervariasi dari ratusan hingga puluhan ribu
- Cakupan dampaknya meliputi puluhan hingga ribuan organisasi di seluruh dunia
- Selain bahasa Inggris, bahasa umpan yang diamati mencakup Prancis, Spanyol, dan Jerman
- Kampanye Xworm, AsyncRAT, dan VenomRAT umumnya dijalankan dalam skala lebih besar dibandingkan kampanye pengiriman Remcos atau GuLoader
- Topik umpan berfokus pada materi yang kemungkinan besar dibuka dalam konteks pekerjaan
- Faktur
- Permintaan dokumen
- Pengiriman
- Pajak
Perubahan Taktik dan Penghindaran Deteksi
- Secara umum, taktik, teknik, dan prosedur kampanye konsisten, tetapi penyerang mengubah sebagian rantai serangan untuk meningkatkan kecanggihan dan penghindaran pertahanan
- Skrip pembantu pada kampanye awal hampir tidak memiliki obfuscation atau sama sekali tidak diobfuscate
- Skrip juga memuat komentar yang menjelaskan fungsi kode secara rinci
- Mulai Juni 2024, kode mulai menyertakan obfuscation
- Aktivitas ini belum diatribusikan ke pelaku ancaman tertentu yang sedang dilacak, dan dikelompokkan sebagai satu klaster aktivitas berdasarkan TTP kampanye terkait
Kampanye 28 Mei 2024
- Kampanye 28 Mei 2024 mengirimkan AsyncRAT dan Xworm
- Pesan bertema pajak berisi URL, dan URL tersebut mengarah ke file .URL yang dikompresi
- Targetnya adalah organisasi hukum dan keuangan, dengan total pesan kurang dari 50
- File .URL menunjuk ke file .LNK jarak jauh
- Saat dijalankan, skrip pembantu CMD memanggil PowerShell untuk mengunduh paket Python terkompresi dan skrip Python
- Paket dan skrip Python tersebut berujung pada pemasangan AsyncRAT dan Xworm
Kampanye 11 Juli 2024
- Kampanye 11 Juli 2024 juga menggunakan Cloudflare Tunnel untuk mendistribusikan AsyncRAT dan Xworm
- Kampanye ini mencakup lebih dari 1.500 pesan dan menargetkan organisasi di berbagai sektor seperti keuangan, manufaktur, dan teknologi
- Pesan berisi lampiran HTML dengan kueri search-ms yang menunjuk ke file LNK
- Saat dijalankan, lampiran tersebut berujung pada file BAT yang diobfuscate, yang memanggil PowerShell untuk mengunduh paket instalasi Python dan skrip
- Komponen yang diunduh kemudian menjalankan AsyncRAT dan Xworm
Hal Penting dari Sisi Pertahanan
- Cloudflare Tunnel memungkinkan penyerang menggunakan infrastruktur sementara untuk memperluas operasi serta membuat dan menurunkan instance dengan cepat
- Instance Cloudflare sementara menciptakan kondisi yang lebih sulit bagi langkah keamanan tradisional yang bergantung pada daftar blokir statis dan bagi defender
- Metode pengiriman berbasis skrip Python perlu mendapat perhatian khusus
- Dengan membundel library Python dan installer yang dapat dieksekusi bersama skrip Python, malware dapat diunduh dan dijalankan bahkan pada host yang belum memasang Python sebelumnya
- Organisasi yang tidak membutuhkan Python untuk pekerjaan pribadi harus membatasi penggunaannya
- Cara mengirimkan paket software bersama file berbahaya bukan hal baru
- Baru-baru ini, dalam kampanye malware berbasis Java, diamati kasus JAR dan Java Runtime Environment dimasukkan bersama dalam ZIP agar software yang diperlukan terpasang sebelum downloader atau dropper dijalankan
- Eksekusi payload akhir membutuhkan interaksi korban yang cukup banyak
- Mengklik tautan berbahaya
- Mengeklik dua kali beberapa file seperti LNK atau VBS
- Mengekstrak skrip terkompresi
- Proses ini memberi penerima beberapa kesempatan untuk mengidentifikasi aktivitas mencurigakan dan menghentikan rantai serangan
- Semakin banyak pelaku ancaman menggunakan WebDAV dan Server Message Block(SMB) untuk staging dan pengiriman payload
- Organisasi harus membatasi akses ke layanan berbagi file eksternal hanya ke server dalam allowlist yang diketahui
Aturan Deteksi dan Indikator Kompromi
- Emerging Threats ruleset mencakup deteksi malware yang diidentifikasi dalam kampanye ini
- Contoh aturan:
2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes (Client)2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed
- Contoh indikator kompromi:
spectrum-exactly-knitting-rural[.]trycloudflare[.]com: Host TryCloudflare, pertama diamati pada Mei 2024157[.]20[.]182[.]172: IP C2 Xworm, pertama diamati pada Mei 2024dcxwq1[.]duckdns[.]org: C2 AsyncRAT, pertama diamati pada Mei 2024ride-fatal-italic-information[.]trycloudflare[.]com: Host TryCloudflare, pertama diamati pada Juli 2024todfg[.]duckdns[.]org: C2 AsyncRAT, pertama diamati pada Juli 2024welxwrm[.]duckdns[.]org: C2 Xworm, pertama diamati pada Juli 2024xwor3july[.]duckdns[.]org: C2 Xworm, pertama diamati pada Juli 2024
1 komentar
Komentar Hacker News
Masa ketika perangkat lunak berbahaya didistribusikan dari domain
.ruyang mencurigakan atau IP terbuka milik penyedia hosting bulletproof sudah berlaluPara penyerang sekarang juga memakai infrastruktur yang digunakan semua orang seperti GCP, AWS, Azure, Cloudflare, dan mengakses perangkat melalui VPN yang sama dengan yang dipakai kakek-nenek Anda untuk menonton Netflix
Internet makin bergerak ke model di mana alamat IP dan nama domain tidak lagi berguna sebagai indikator keamanan; kita tidak bisa memblokir rentang Cloudflare atau AWS, dan juga sulit memblokir pengguna VPN komersial besar dari sebuah situs
Selain itu, lalu lintas dan kueri nama semuanya terenkripsi, sehingga operator jaringan tidak bisa mengetahui apa yang dilakukan pengguna di internet
Ini perubahan yang baik karena meningkatkan privasi dan anonimitas, menurunkan manfaat solusi keamanan jaringan sehingga jaringan kembali sederhana dan tidak mengeras secara kaku, serta memaksa kita menangani masalah keamanan mendasar alih-alih industri pukul-muncul yang tidak efisien
Baru-baru ini saya harus memperbaiki perangkat lunak backend tumblog yang mengunduh video Reddit dengan
yt-dlp, karena Reddit memblokir rentang IP server dedicated HetznerPada akhirnya saya mengakalinya dengan membuat klien mengunduh video lewat JavaScript lalu mengunggahnya ke server saya
Beberapa situs web sudah melakukannya, dan saya juga sedang mempertimbangkannya
Selain itu, mengambil daftar IP exit node TOR untuk memblokir TOR juga layak dilakukan; pemblokiran TOR telah banyak mengurangi kerepotan yang disebabkan pelaku jahat
Ini terutama berlaku jika bukan bidang yang secara khusus merepotkan perusahaan besar seperti hak cipta; jika memakai penyedia arus utama pun tetap bisa lolos dari hukuman, tidak ada alasan memakai hosting bulletproof atau registrar mencurigakan
Skenario terburuknya, seluruh internet menjadi seperti Facebook, di mana bahkan untuk melihat sesuatu pun Anda perlu akun yang tak terpisahkan dari identitas asli
Saya mulai jenuh dengan judul tentang “pengiriman” malware melalui hal-hal seperti penyingkat tautan
Tidak mengejutkan bahwa ada banyak cara bagi orang untuk mengunggah berkas ke internet
Tujuan akhirnya sepenuhnya tersembunyi dari pengguna maupun stack keamanan perusahaan
Jika Cloudflare ingin memasarkan dirinya sebagai produk keamanan, menurut saya tidak berlebihan untuk mengharapkan mereka memantau malware di layanannya sendiri
Menggiring narasi seolah Cloudflare hanya sebagai kaki tangan berarti melewatkan gambaran yang lebih besar
Dulu kita harus mematikan autorun di Windows agar tidak tanpa sengaja terinfeksi dari drive berbahaya, tetapi tidak ada yang menyalahkan produsen CD-RW atau flash drive
Sepertinya saya belum pernah melihat mereka benar-benar mengambil tindakan ketika saya melaporkan phishing dan hosting malware yang jelas
Awalnya nasihat yang baik adalah “jangan makan sesuatu yang tidak bisa Anda identifikasi”, tetapi entah bagaimana itu berubah menjadi “jangan melihat sesuatu yang tidak bisa Anda identifikasi”
Namun jika tidak mematuhi nasihat ini, pengguna diperlakukan seolah-olah bodoh, sehingga mereka mudah tetap tidak tahu seperti apa ancaman sebenarnya
Cara yang lebih baik adalah membuat semua tautan aman untuk diklik, dan cukup menghindari tindakan berbahaya seperti mengeksekusi sesuatu
Dengan begitu, kita bisa menandai apa yang ditemukan sebagai berbahaya atau tepercaya dan membantu rekan kerja juga
Saya sudah menulis tentang penyalahgunaan alat ini hampir tepat 1 tahun lalu[0]
Yang tampak baru di sini hanyalah apa yang dilakukan lewat tunnel, dan bahwa metode ini cukup berhasil hingga porsinya dalam keseluruhan teknik serangan meningkat
Menurut saya TryCloudflare adalah masalah sebenarnya
Sama sekali tidak perlu akun, sehingga atribusi hampir mustahil dilakukan
0: https://www.guidepointsecurity.com/blog/tunnel-vision-cloudf...
Saya rasa produk tunnel instan gratis pada akhirnya memang akan menjadi seperti ini
ngrok juga awalnya menyenangkan karena tunneling tanpa friksi, tetapi karena penyalahgunaan yang sama, akhirnya semuanya harus diletakkan di balik alur pendaftaran
Jika Anda menyediakan enkripsi ujung ke ujung gratis tanpa akuntabilitas yang terikat pada pengguna, itu sama saja mengundang penyalahgunaan
Kalau bukan tunnel Cloudflare, caranya akan menjadi meminta orang membuka halaman web berisi payload di URL lewat Google Terjemahan
Ini sulit disebut berita
Sepertinya inilah alasan kita tidak bisa menikmati hal-hal baik di internet; dalam kasus ini, fitur-fitur bagus Cloudflare
Tahukah Anda bahwa dulu bisa mengirim email gratis dari Cloudflare? (https://blog.cloudflare.com/sending-email-from-workers-with-...)
Sekarang tidak bisa
Penutupannya mungkin tidak sepenuhnya salah Cloudflare, tetapi ini contoh serupa tentang layanan bagus yang disalahgunakan lalu menghilang
Dulu sekali Cloudflare punya fitur untuk “mempratinjau” CSS dan HTML yang akan dipakai pada halaman error kustom
Pada dasarnya, fitur pratinjau itu menerima CSS dan HTML dari query string lalu menampilkannya apa adanya di
cloudflarepreview.com/...Saat melaporkannya, saya menunjukkan bahwa sangat mudah membuat halaman seperti “Masuk dengan akun Cloudflare Anda untuk mengakses pratinjau beta Cloudflare!” dan mencuri informasi login Cloudflare
Bug bounty ditutup dengan alasan “diterima mengingat sifat playground cloudflarepreview”, lalu kemudian diperbaiki dengan menambahkan token JWT ke URL, tetapi tidak ada imbalan
Saya sudah lama menjadi pelanggan Cloudflare, tetapi tampaknya ada banyak sudut gelap di berbagai produk yang tidak banyak mendapat perhatian sampai disalahgunakan, dan saya menduga TryCloudflare juga salah satunya
Melihat masalah “tidak ada yang ingin mengeluarkan cukup uang untuk moderasi dan pencegahan penyalahgunaan”, saya jadi penasaran apa yang terjadi dengan gagasan era awal PGP tentang jaringan kepercayaan dan ketidakpercayaan terdesentralisasi untuk identitas online
Kini gagasan itu hanya sedikit tersisa dalam bentuk akun media sosial yang “dipercaya” berdasarkan jumlah pengikut, pengikut dari pengikut, dan bot tanpa akhir di bawahnya, atau dalam bentuk PageRank dan penyalahgunaan optimasi mesin pencari
Saya penasaran apakah serangan jenis ini akan terdeteksi oleh program keamanan endpoint yang terkenal itu, misalnya ClownStrike
Sepertinya lalu lintas ini hanya akan terlihat jika penyerangnya cukup amatir hingga menggunakan ulang trojan akses jarak jauh yang sudah dikenal
exesembarangTidak masalah apakah penyerang memakai executable berbahaya yang sudah dikenal atau tidak
Ini mengingatkan saya pada masa ketika disk akun uji coba gratis AOL berserakan di mana-mana
Di banyak komunitas, subdomain AOL sering langsung diblokir
*.ipt.aol.comjuga perlu diblokirKarena ada pengguna AOL yang memakai reverse DNS
HOST.ipt.aol.comuntuk menghindari blokir dan merusak pengalaman semua orangGenerasi Prodigy / CompuServe / Blue Light juga ada di sini