2 points par GN⁺ 2024-08-03 | 1 commentaires | Partager sur WhatsApp
  • Une activité cybercriminelle observée depuis février 2024 a exploité TryCloudflare Tunnel pour diffuser des malwares ; l’activité a augmenté entre mai et juillet, et les campagnes récentes mènent majoritairement à Xworm
  • L’attaque commence par une URL ou une pièce jointe dans un e-mail qui conduit à un fichier .URL, puis passe par WebDAV, LNK/VBS, BAT/CMD, un paquet d’installation Python et des scripts pour installer un RAT
  • En juin-juillet, Xworm était largement dominant, mais les campagnes précédentes utilisaient aussi AsyncRAT, VenomRAT, GuLoader et Remcos ; certains scripts Python installent plusieurs payloads séparément
  • Les campagnes vont de quelques centaines à plusieurs dizaines de milliers de messages et ont touché de quelques dizaines à plusieurs milliers d’organisations dans le monde, en utilisant des leurres professionnels comme des factures, demandes de documents, livraisons ou impôts, ainsi que plusieurs langues
  • L’infrastructure Cloudflare temporaire et le bundling Python compliquent le blocage et les takedowns, mais l’exécution finale nécessite plusieurs interactions utilisateur, comme cliquer sur des liens, exécuter des fichiers ou extraire des archives

Mode d’abus de TryCloudflare Tunnel

  • Cette activité correspond à un cluster cybercriminel utilisant Cloudflare Tunnels comme infrastructure de livraison de malwares
  • La fonctionnalité exploitée par les attaquants est TryCloudflare, qui permet de créer un tunnel jetable sans créer de compte
  • Les tunnels fonctionnent comme un VPN ou SSH, en permettant un accès distant à des données et ressources situées hors du réseau local
  • À chaque utilisation de TryCloudflare Tunnel, un sous-domaine aléatoire de trycloudflare[.]com est créé
    • Exemple : ride-fatal-italic-information[.]trycloudflare[.]com
    • Le trafic vers ce sous-domaine est relayé via Cloudflare vers le serveur local de l’opérateur
  • L’abus de TryCloudflare Tunnel a commencé à se généraliser en 2023 et progresse parmi les acteurs cybercriminels

Chaîne d’attaque et payloads

  • La plupart des campagnes commencent par une URL dans le message ou une pièce jointe menant à un fichier .URL de raccourci Internet
  • Lorsque le .URL est exécuté, il se connecte à un partage de fichiers externe pour télécharger un fichier LNK ou VBS
    • Le partage de fichiers externe utilise généralement WebDAV
    • Certaines étapes de staging de fichiers utilisent le gestionnaire de protocole search-ms pour récupérer un LNK depuis un partage WebDAV
  • Ensuite, le LNK/VBS exécute un fichier BAT ou CMD, qui télécharge un paquet d’installation Python et plusieurs scripts Python afin d’installer le malware
  • Il est fréquent qu’un PDF inoffensif soit affiché en parallèle pour faire croire à l’utilisateur qu’il s’agit d’un document légitime
  • La quasi-totalité des campagnes observées en juin-juillet diffusaient Xworm
    • Les campagnes précédentes diffusaient aussi AsyncRAT, VenomRAT, GuLoader et Remcos
    • Certaines campagnes mènent à plusieurs payloads malveillants, chaque script Python installant un malware différent

Taille des campagnes et leurres

  • Le volume de messages des campagnes varie de quelques centaines à plusieurs dizaines de milliers
  • La portée de l’impact s’étend de quelques dizaines à plusieurs milliers d’organisations dans le monde
  • Outre l’anglais, des leurres en français, espagnol et allemand ont été observés
  • Les campagnes Xworm, AsyncRAT et VenomRAT sont généralement menées à plus grande échelle que les campagnes diffusant Remcos ou GuLoader
  • Les thèmes des leurres se concentrent sur des sujets susceptibles d’être ouverts dans un contexte professionnel
    • Factures
    • Demandes de documents
    • Livraisons
    • Impôts

Évolution des tactiques et contournement de la détection

  • Les tactiques, techniques et procédures des campagnes restent globalement cohérentes, mais les attaquants modifient certaines parties de la chaîne d’attaque pour accroître la sophistication et l’évasion des défenses
  • Les scripts d’aide des premières campagnes étaient peu ou pas obfusqués
    • Les scripts contenaient aussi des commentaires décrivant en détail les fonctions du code
  • À partir de juin 2024, le code a commencé à intégrer de l’obfuscation
  • Cette activité n’a pas été attribuée à un acteur malveillant suivi en particulier ; elle est regroupée en un même cluster d’activité sur la base des TTP des campagnes associées

Campagne du 28 mai 2024

  • La campagne du 28 mai 2024 a diffusé AsyncRAT et Xworm
  • Les messages sur le thème des impôts contenaient une URL menant à un fichier .URL compressé
  • Les cibles étaient des organisations juridiques et financières, avec moins de 50 messages au total
  • Le fichier .URL pointait vers un fichier .LNK distant
  • À l’exécution, un script d’aide CMD invoquait PowerShell pour télécharger un paquet Python compressé et des scripts Python
  • Le paquet Python et les scripts conduisaient à l’installation d’AsyncRAT et de Xworm

Campagne du 11 juillet 2024

  • La campagne du 11 juillet 2024 a elle aussi utilisé des tunnels Cloudflare pour diffuser AsyncRAT et Xworm
  • Elle comprenait plus de 1 500 messages et ciblait des organisations de plusieurs secteurs, notamment la finance, l’industrie manufacturière et la technologie
  • Les messages incluaient une pièce jointe HTML contenant une requête search-ms pointant vers un fichier LNK
  • À l’exécution, celle-ci menait à un fichier BAT obfusqué, qui invoquait PowerShell pour télécharger un paquet d’installation Python et des scripts
  • Les composants téléchargés conduisaient à l’exécution d’AsyncRAT et de Xworm

Points importants côté défense

  • Les tunnels Cloudflare permettent aux attaquants d’utiliser une infrastructure temporaire pour étendre leurs opérations, et de créer puis supprimer rapidement des instances
  • Les instances Cloudflare temporaires rendent la tâche plus difficile aux mesures de sécurité traditionnelles fondées sur des listes de blocage statiques, ainsi qu’aux défenseurs
  • Les méthodes de livraison basées sur des scripts Python exigent une attention particulière
    • En groupant des bibliothèques Python et un installateur exécutable avec des scripts Python, il est possible de télécharger et d’exécuter des malwares même sur des hôtes où Python n’est pas préinstallé
    • Les organisations qui n’ont pas besoin de Python pour leurs activités doivent en restreindre l’usage
  • La livraison de paquets logiciels avec des fichiers malveillants n’est pas nouvelle
    • Récemment, dans des campagnes de malwares basés sur Java, des cas ont été observés où un JAR et un Java Runtime Environment étaient inclus ensemble dans un ZIP afin que le logiciel nécessaire soit installé avant l’exécution du downloader ou du dropper
  • L’exécution du payload final nécessite une interaction importante de la victime
    • Cliquer sur un lien malveillant
    • Double-cliquer sur plusieurs fichiers comme des LNK ou VBS
    • Extraire des scripts compressés
    • Ce processus offre au destinataire plusieurs occasions d’identifier une activité suspecte et d’interrompre la chaîne d’attaque
  • De plus en plus d’acteurs malveillants utilisent WebDAV et Server Message Block (SMB) pour le staging et la livraison des payloads
  • Les organisations doivent limiter l’accès aux services externes de partage de fichiers aux seuls serveurs en liste d’autorisation connus

Règles de détection et indicateurs de compromission

  • Le jeu de règles Emerging Threats inclut des détections des malwares identifiés dans cette campagne
  • Exemples de règles :
    • 2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
    • 2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes
    • 2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes (Client)
    • 2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
    • 2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed
  • Exemples d’indicateurs de compromission :
    • spectrum-exactly-knitting-rural[.]trycloudflare[.]com : hôte TryCloudflare, observé pour la première fois en mai 2024
    • 157[.]20[.]182[.]172 : IP C2 Xworm, observée pour la première fois en mai 2024
    • dcxwq1[.]duckdns[.]org : C2 AsyncRAT, observé pour la première fois en mai 2024
    • ride-fatal-italic-information[.]trycloudflare[.]com : hôte TryCloudflare, observé pour la première fois en juillet 2024
    • todfg[.]duckdns[.]org : C2 AsyncRAT, observé pour la première fois en juillet 2024
    • welxwrm[.]duckdns[.]org : C2 Xworm, observé pour la première fois en juillet 2024
    • xwor3july[.]duckdns[.]org : C2 Xworm, observé pour la première fois en juillet 2024

1 commentaires

 
GN⁺ 2024-08-03
Avis sur Hacker News
  • L’époque où les logiciels malveillants étaient distribués depuis des domaines .ru suspects ou des IP exposées de fournisseurs d’hébergement bulletproof est déjà révolue
    Les attaquants utilisent désormais eux aussi des infrastructures que tout le monde utilise, comme GCP, AWS, Azure, Cloudflare, et accèdent aux appareils via les mêmes VPN que vos grands-parents utilisent pour regarder Netflix
    Internet évolue de plus en plus vers un modèle où les adresses IP et les noms de domaine ne servent plus à grand-chose comme indicateurs de sécurité : on ne peut pas bloquer les plages Cloudflare ou AWS, ni exclure facilement de son site les utilisateurs des grands VPN commerciaux
    De plus, le trafic et les résolutions de noms sont tous chiffrés, si bien que les opérateurs réseau ne peuvent pas savoir ce que font les utilisateurs sur Internet
    C’est une bonne évolution, car elle renforce la vie privée et l’anonymat, réduit l’utilité des solutions de sécurité réseau, simplifie à nouveau les réseaux et évite leur rigidification, tout en obligeant à traiter les problèmes de sécurité fondamentaux plutôt qu’à alimenter une industrie inefficace du jeu de la taupe

    • Tu dis qu’« on ne peut pas empêcher les visites vers les plages d’IP Cloudflare ou AWS », mais Reddit semble le faire de manière assez nette
      J’ai récemment dû corriger le logiciel backend d’un tumblelog qui télécharge des vidéos Reddit avec yt-dlp, parce que Reddit bloquait les plages d’IP de serveurs dédiés Hetzner
      Au final, j’ai contourné le problème en téléchargeant les vidéos côté client en JavaScript, puis en les téléversant vers mon serveur
    • Si l’on peut identifier les plages d’IP des principaux fournisseurs de VPN commerciaux, on peut bloquer les visiteurs
      Certains sites le font déjà, et j’envisage aussi de le faire
      Récupérer la liste des IP de nœuds de sortie TOR pour bloquer TOR est aussi faisable, et le blocage de TOR m’a permis de réduire beaucoup les problèmes causés par des acteurs malveillants
    • Le fait que les logiciels malveillants ne soient plus distribués depuis des hébergeurs ou bureaux d’enregistrement louches, mais depuis des infrastructures grand public, ressemble à une conséquence de l’incapacité ou du refus des forces de l’ordre de traiter réellement la criminalité en ligne
      C’est particulièrement vrai hors des domaines qui gênent spécifiquement les grandes entreprises, comme le droit d’auteur ; si l’on peut éviter les sanctions en utilisant des fournisseurs grand public, il n’y a aucune raison de recourir à de l’hébergement bulletproof ou à des registrars douteux
    • Ce qui m’inquiète, c’est que les régulateurs pourraient ne pas attendre que les problèmes de fond soient résolus et choisir une vérification d’identité plus agressive
      Le pire scénario serait qu’Internet tout entier devienne comme Facebook, où il faudrait un compte indissociable de son identité réelle rien que pour voir quelque chose
    • Donc, en résumé, le KYC va probablement arriver aussi dans l’hébergement cloud
  • Je commence à en avoir assez des titres sur la « livraison » de malware via des trucs comme des raccourcisseurs de liens
    Ce n’est pas surprenant qu’il existe plusieurs façons pour les gens de mettre des fichiers en ligne

    • Ici, ce n’est pas un raccourcisseur de liens mais un tunnel : l’utilisateur pense se connecter à Cloudflare, mais derrière, cela mène vers une destination malveillante
      La destination finale est complètement cachée à l’utilisateur comme à la pile de sécurité de l’entreprise
      Si Cloudflare veut se vendre comme un produit de sécurité, je ne trouve pas déraisonnable d’attendre qu’ils surveillent les malwares sur leurs propres services
    • À ce stade, surtout pour les personnes qui ne sont pas des utilisateurs avancés, il faut voir cela comme un problème de conception des interactions avec le système d’exploitation
      Faire de Cloudflare le seul complice, c’est passer à côté du tableau d’ensemble
      Autrefois, il fallait désactiver l’exécution automatique dans Windows pour éviter d’être infecté par hasard par un lecteur malveillant, mais personne n’accusait les fabricants de CD-RW ou de clés USB
    • J’aimerais que Cloudflare réponde un peu plus sérieusement aux signalements d’abus
      Quand j’ai signalé du phishing évident et de l’hébergement de malware, je n’ai pas l’impression de les avoir déjà vus agir réellement
    • Je trouve absurde que la conception des navigateurs se soit figée de sorte qu’un simple clic sur un lien expose à une menace de malware
      À l’origine, le bon conseil était « ne mangez pas ce que vous ne pouvez pas identifier », et il a fini par se tordre en « ne regardez pas ce que vous ne pouvez pas identifier »
      Pourtant, on traite encore les utilisateurs comme des idiots s’ils n’arrivent pas à suivre ce conseil, alors qu’ils se retrouvent facilement sans savoir à quoi ressemble une vraie menace
      Une meilleure approche serait que tous les liens puissent être cliqués en toute sécurité, tant que l’on n’effectue pas d’actions dangereuses comme exécuter quelque chose
      Cela permettrait aussi de signaler ce que l’on découvre comme menaçant ou fiable, et d’aider ses collègues
  • J’avais déjà écrit sur l’abus de cet outil il y a presque exactement un an[0]
    Ce qui semble nouveau ici, c’est seulement ce qui est fait via le tunnel, et le fait que cette méthode réussisse assez pour prendre une part croissante dans l’ensemble des techniques d’attaque
    À mon avis, TryCloudflare est le vrai problème
    Aucun compte n’est requis, ce qui rend l’attribution presque impossible
    0: https://www.guidepointsecurity.com/blog/tunnel-vision-cloudf...

  • J’ai l’impression que tous les produits de tunnel gratuit instantané finissent ainsi
    ngrok aussi était au départ formidable pour faire du tunneling sans friction, mais à cause du même type d’abus, ils ont fini par tout mettre derrière un parcours d’inscription

    • J’aurais même été déçu si les attaquants ne l’avaient pas exploité
      Fournir du chiffrement de bout en bout gratuit sans responsabilité rattachée à l’utilisateur, c’est inviter les abus
  • Si ce n’est pas un tunnel Cloudflare, ce sera une page web avec le payload dans l’URL que l’on demandera d’ouvrir via Google Traduction
    Difficile d’y voir une vraie information

  • C’est sans doute pour ce genre de raisons qu’on ne peut pas avoir de belles choses sur Internet, ici les bonnes fonctionnalités de Cloudflare
    Saviez-vous qu’on pouvait envoyer gratuitement des e-mails depuis Cloudflare ? (https://blog.cloudflare.com/sending-email-from-workers-with-...)
    Ce n’est plus possible
    La fermeture n’était pas forcément la faute de Cloudflare, mais c’est un exemple similaire d’un bon service abusé jusqu’à disparaître

  • Il y a longtemps, Cloudflare avait une fonction de « prévisualisation » du CSS et du HTML destinés aux pages d’erreur personnalisées
    En gros, cette fonction de prévisualisation prenait le CSS et le HTML dans la chaîne de requête et les affichait tels quels sur cloudflarepreview.com/...
    Je l’ai signalé en montrant qu’il était très facile de créer une page du type « Connectez-vous avec votre compte Cloudflare pour accéder à l’aperçu bêta de Cloudflare ! » et de voler des identifiants Cloudflare
    Le bug bounty a été fermé avec la mention « accepté compte tenu de la nature du playground cloudflarepreview », puis ils ont corrigé en ajoutant un jeton JWT à l’URL, mais sans récompense
    J’ai longtemps été client Cloudflare, mais il semble y avoir dans leurs produits beaucoup de recoins obscurs auxquels on ne prête guère attention avant qu’ils soient exploités, et je soupçonne que TryCloudflare en fait partie

  • Quand on voit le problème selon lequel « personne ne veut dépenser assez d’argent en modération et en lutte contre les abus », je me demande ce qu’est devenue l’idée, à l’époque des débuts de PGP, de réseaux décentralisés de confiance et de défiance pour l’identité en ligne
    Aujourd’hui, il n’en reste un peu que sous la forme de comptes de réseaux sociaux « fiables » selon le nombre d’abonnés, les abonnés des abonnés, puis une infinité de bots plus bas, ou encore de PageRank et d’abus du référencement

    • Les personnes capables de comprendre et d’utiliser ce genre de proposition ne sont pas, à la base, assez naïves pour installer un cheval de Troie
    • Avec la prolifération des deepfakes ultra-réalistes, la société va bientôt devoir trouver un moyen de vérifier l’authenticité des sources
  • Je me demande si ce type d’attaque aurait été détecté par ces tristement célèbres programmes de sécurité endpoint, par exemple ClownStrike
    J’imagine que ce trafic ne serait visible que si l’attaquant est assez peu compétent pour réutiliser un cheval de Troie d’accès distant déjà connu

    • Avec CrowdStrike, il suffit de le configurer pour bloquer l’exécution de n’importe quel exe
      Peu importe que l’attaquant utilise ou non un exécutable malveillant déjà connu
  • Cela me rappelle l’époque où les disques de comptes d’essai gratuits AOL traînaient partout
    Dans beaucoup de communautés, les sous-domaines AOL étaient immédiatement bloqués

    • Il fallait aussi bloquer *.ipt.aol.com
      Un utilisateur AOL utilisait le DNS inverse HOST.ipt.aol.com pour contourner les blocages et nuisait à tout le monde
      La génération Prodigy / CompuServe / Blue Light est aussi là