Cloudflare Tunnels: от инструмента безопасности к вектору атак
Временные туннели играют неожиданную роль в распространении вредоносного ПО.
Proofpoint отслеживает активность киберпреступников, использующих Cloudflare Tunnels для распространения вредоносного ПО. Злоумышленники используют функцию TryCloudflare, которая позволяет создать одноразовый туннель без регистрации учетной записи. Туннели предназначены для удаленного доступа к данным и ресурсам, аналогично VPN или SSH.
Цепочка атак начинается с рассылки сообщения с ссылкой или вложением, ведущим к URL-файлу. При открытии файл подключается к внешнему файловому хранилищу через WebDAV для загрузки файла LNK или VBS. Выполнение файлов приводит к запуску BAT или CMD, которые загружают установочный пакет Python и ряд скриптов, завершающихся установкой вредоносного ПО. В некоторых случаях используется протокол search-ms для получения LNK-файлов через WebDAV. Злоумышленники часто отображают на экране жертвы безобидный PDF, чтобы пользователь ничего не заподозрил.
Большинство кампаний в последнее время привели к установке RAT-трояна Xworm, однако ранее также использовались AsyncRAT, VenomRAT, GuLoader и Remcos. Некоторые кампании включают несколько различных вредоносных нагрузок, причем каждый уникальный Python-скрипт приводит к установке разного ПО.
Объемы рассылок варьируются от сотен до десятков тысяч сообщений, затрагивая множество организаций по всему миру. Сообщения пишутся на разных языках: английском, французском, испанском и немецком. Письма касаются тематики бизнеса – счета, запросы документов, доставки посылок и налоги.
Несмотря на стабильность тактик, техник и процедур (TTPs) кампаний, злоумышленники постоянно меняют части цепочки атак, чтобы повысить их сложность и избежать защиты. Например, в начальных кампаниях скрипты были почти не замаскированы, содержали детальные комментарии о функционале кода. Однако позже преступники начали маскировать код.
Отметим, что цепочка атак требует взаимодействия жертвы для активации финальной нагрузки, что дает получателю несколько возможностей для выявления подозрительной активности.
Популярность TryCloudflare Tunnels среди киберпреступников начала расти в 2023 году. Использование технологии дает злоумышленникам возможность временно масштабировать операции, что затрудняет защиту и обнаружение атак. Временные экземпляры Cloudflare позволяют преступникам с минимальными затратами проводить атаки с помощью вспомогательных скриптов, снижая вероятность обнаружения и устранения.
Применение Python-скриптов для доставки вредоносного ПО также заслуживает внимания. Пакеты библиотек Python и установочный файл гарантируют, что вредоносное ПО можно загрузить и запустить на хостах, где Python ранее не был установлен. Поэтому организациям рекомендуется ограничить использование Python, если он не требуется для выполнения рабочих обязанностей сотрудников.