Des acteurs malveillants abusent des tunnels Cloudflare pour diffuser des chevaux de Troie d’accès à distance

 (proofpoint.com)
2 points par GN⁺ 2024-08-03 | 1 commentaires | Partager sur WhatsApp

Principales découvertes

  • Proofpoint a observé une hausse de la distribution de malwares exploitant TryCloudflare Tunnel
  • Cette activité est motivée par un objectif financier et déploie des chevaux de Troie d’accès à distance (RAT)
  • Depuis les premières observations, les attaquants ont modifié leurs tactiques, techniques et procédures afin d’échapper à la détection et d’améliorer leur efficacité
  • Proofpoint n’attribue pas cette activité à un acteur de menace précis, mais les recherches se poursuivent

Vue d’ensemble

Proofpoint suit une activité cybercriminelle qui exploite les Cloudflare Tunnels pour distribuer des malwares. Plus précisément, les attaquants abusent de la fonctionnalité TryCloudflare, qui permet de créer des tunnels à usage unique sans créer de compte. Les tunnels permettent d’accéder à distance à des données et à des ressources qui ne se trouvent pas sur le réseau local, à la manière des protocoles VPN ou SSH. Observé pour la première fois en février 2024, ce cluster a vu son activité augmenter entre mai et juillet, et au cours des derniers mois, la plupart des campagnes ont abouti au RAT Xworm. Dans la majorité des campagnes, des messages contenant des URL ou des pièces jointes pointent vers des fichiers de raccourci Internet (.URL). Une fois exécutés, ils se connectent à un partage de fichiers externe via WebDAV pour télécharger des fichiers LNK ou VBS. Une fois lancés, les LNK/VBS exécutent des fichiers BAT ou CMD qui téléchargent un package d’installation Python et une série de scripts Python afin d’installer le malware. Dans certains cas, le gestionnaire de protocole search-ms est utilisé pour rechercher des fichiers LNK sur un partage WebDAV. En général, les campagnes affichent un PDF inoffensif afin de paraître légitimes aux yeux de l’utilisateur.

Exemples de campagnes

Campagne AsyncRAT / Xworm du 28 mai 2024 Proofpoint a observé le 28 mai 2024 une campagne distribuant AsyncRAT et Xworm. Dans cette campagne, des messages sur le thème de la fiscalité pointaient vers une archive compressée contenant un fichier URL. Cette campagne visait des organisations des secteurs juridique et financier, avec moins de 50 messages au total. Le fichier URL pointait vers un fichier LNK distant. Une fois exécuté, un script helper CMD appelait PowerShell pour télécharger un package Python compressé ainsi que des scripts Python. Le package Python et les scripts aboutissaient à l’installation d’AsyncRAT et de Xworm.

Campagne AsyncRAT / Xworm du 11 juillet 2024 Les chercheurs ont observé le 11 juillet 2024 une autre campagne utilisant des tunnels Cloudflare pour distribuer AsyncRAT et Xworm. Cette campagne contenait plus de 1 500 messages ciblant des organisations de divers secteurs, notamment la finance, l’industrie manufacturière et la technologie. Dans cette campagne, des pièces jointes HTML pointaient vers des fichiers LNK en incluant des requêtes search-ms. Une fois exécuté, un fichier BAT obfusqué appelait PowerShell pour télécharger le package d’installation Python et des scripts afin d’exécuter AsyncRAT et Xworm.

Attribution

Sur la base des tactiques, techniques et procédures (TTP) observées dans les campagnes, Proofpoint considère qu’il s’agit d’un même cluster d’activités liées. Les chercheurs n’ont pas attribué cette activité à un acteur de menace spécifique, mais les recherches se poursuivent.

Importance

L’utilisation des tunnels Cloudflare offre aux attaquants la flexibilité d’étendre leurs opérations à l’aide d’une infrastructure temporaire. Cela complique la tâche des défenseurs et des mesures de sécurité traditionnelles qui s’appuient sur des listes de blocage statiques. Les instances Cloudflare temporaires offrent aux attaquants un moyen peu coûteux de préparer leurs attaques tout en réduisant au minimum leur exposition à la détection et au retrait. L’utilisation de scripts Python pour distribuer les malwares mérite également d’être soulignée. En empaquetant des bibliothèques Python et des programmes d’installation d’exécutables avec des scripts Python, les attaquants peuvent télécharger et exécuter des malwares même sur des hôtes où Python n’était pas installé auparavant. Les organisations devraient restreindre l’usage de Python lorsqu’il n’est pas nécessaire aux fonctions professionnelles des individus. Au cours des derniers mois, Proofpoint a également observé des campagnes distribuant des malwares basés sur Java, en incluant des fichiers JAR et le Java Runtime Environment (JRE) dans des ZIP afin d’exécuter un downloader ou un dropper une fois le bon logiciel installé. La chaîne d’attaque exige une interaction importante de la victime pour exécuter la charge utile finale. Cela offre aux destinataires plusieurs occasions d’identifier une activité suspecte et de perturber la chaîne d’attaque.

Signatures Emerging Threats

Le jeu de règles Emerging Threats comprend des règles permettant de détecter les malwares identifiés dans cette campagne. Exemples :

  • 2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
  • 2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes
  • 2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes(Client)
  • 2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
  • 2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed

Exemples d’indicateurs de compromission

Indicateur Description Première observation
spectrum-exactly-knitting-rural[.]trycloudflare[.]com Hôte Trycloudflare mai 2024
53c32ea384894526992d010c0c49ffe250d600b9b4472cce86bbd0249f88eada SHA256 du .URL mai 2024
a79fbad625a5254d4f7f39461c2d687a1937f3f83e184bd62670944462b054f7 SHA256 du LNK mai 2024
0f1118b30b2da0b6e82f95d9bbf87101d8298a85287f4de58c9655eb8fecd3c6 SHA256 du CMD mai 2024
157[.]20[.]182[.]172 IP C2 de Xworm mai 2024
dcxwq1[.]duckdns[.]org C2 AsyncRAT mai 2024
a40f194870b54aeb102089108ecf18b3af9b449066a240f0077ff4edbb556e81 SHA256 du HTML juillet 2024
3867de6fc23b11b3122252dcebf81886c25dba4e636dd1a3afed74f937c3b998 SHA256 du LNK juillet 2024
ride-fatal-italic-information[.]trycloudflare[.]com Hôte Trycloudflare juillet 2024
0fccf3d1fb38fa337baf707056f97ef011def859901bb922a4d0a1f25745e64f SHA256 du BAT juillet 2024
todfg[.]duckdns[.]org C2 AsyncRAT juillet 2024
welxwrm[.]duckdns[.]org C2 Xworm juillet 2024
xwor3july[.]duckdns[.]org C2 Xworm juillet 2024

Résumé GN⁺

  • Cet article traite de la hausse de la distribution de malwares exploitant les tunnels Cloudflare
  • Les attaquants utilisent des scripts Python pour distribuer des malwares, ce qui complique la détection et la suppression
  • Les organisations devraient restreindre l’usage de Python et limiter l’accès aux services externes de partage de fichiers
  • D’autres projets offrant des fonctionnalités similaires incluent diverses solutions de sécurité

À lire aussi

1 commentaires

 
GN⁺ 2024-08-03
Avis Hacker News

  • L’époque où les logiciels malveillants étaient servis depuis des domaines .ru suspects ou des adresses IP est révolue

    • Aujourd’hui, les acteurs de la menace utilisent des infrastructures comme GCP, AWS, Azure, Cloudflare, etc.
    • Ils utilisent aussi les mêmes VPN que les utilisateurs ordinaires
    • Les adresses IP et les noms de domaine ne sont plus des indicateurs de sécurité utiles
    • Tout le trafic et toutes les résolutions de noms sont chiffrés, si bien que les opérateurs réseau ne peuvent plus connaître l’activité Internet
    • Cela améliore la confidentialité et l’anonymat, réduit les solutions de sécurité réseau inefficaces et force à traiter les problèmes de sécurité fondamentaux

  • Ras-le-bol des gros titres sur la distribution de logiciels malveillants via des raccourcisseurs de liens

    • Il n’y a rien d’étonnant à ce que des gens puissent héberger des fichiers sur Internet de multiples façons

  • La raison de l’arrêt du service gratuit d’envoi d’e-mails de Cloudflare était les abus

    • Lorsqu’un bon service est détourné, il finit inévitablement par être interrompu

  • On peut héberger, via Cloudflare Tunnel, une page web contenant une charge malveillante

    • Je ne pense pas que cela ait une valeur d’actualité

  • Tous les produits de tunneling gratuits finissent par devenir payants s’ils sont trop abusés

    • ngrok aussi était simple au début, mais a dû introduire une procédure d’inscription à cause des abus

  • J’ai écrit il y a un an sur l’usage malveillant de TryCloudflare

    • Comme on peut l’utiliser sans compte, il est presque impossible à tracer

  • Il y avait une vulnérabilité dans la fonction d’aperçu des pages d’erreur personnalisées de Cloudflare

    • Elle permettait de capturer des identifiants de connexion
    • Le problème a été corrigé par l’ajout d’un jeton JWT, mais aucune bug bounty n’a été versée
    • Je soupçonne que TryCloudflare a un problème similaire

  • Je me demande ce qu’est devenue l’idée du réseau de confiance décentralisé de la première époque de PGP

    • Aujourd’hui, la confiance se forme plutôt sur la base du nombre d’abonnés sur les réseaux sociaux, etc.

  • Je me demande si les programmes de sécurité endpoint peuvent détecter ce type d’attaque

    • Je pense qu’ils ne le détecteront pas, sauf si l’attaquant réutilise un RAT connu

  • Quand je vois la formule "I hope this message finds you well", une alerte spam/arnaque se déclenche immédiatement