Tác nhân đe dọa lạm dụng Cloudflare Tunnel để phát tán trojan truy cập từ xa

Phát hiện chính

• Proofpoint quan sát thấy sự gia tăng của hoạt động phát tán mã độc lợi dụng TryCloudflare Tunnel
• Hoạt động này có động cơ tài chính và phát tán trojan truy cập từ xa (RAT)
• Sau lần quan sát ban đầu, các kẻ tấn công đã điều chỉnh chiến thuật, kỹ thuật và quy trình để né tránh phát hiện và tăng hiệu quả
• Proofpoint không quy hoạt động này cho một tác nhân đe dọa cụ thể nào, nhưng nghiên cứu vẫn đang tiếp tục

Tổng quan

Proofpoint đang theo dõi hoạt động tội phạm mạng phát tán mã độc bằng cách lạm dụng Cloudflare Tunnels. Cụ thể, kẻ tấn công lợi dụng tính năng TryCloudflare cho phép tạo các đường hầm dùng một lần mà không cần tạo tài khoản. Các đường hầm cho phép truy cập từ xa vào dữ liệu và tài nguyên không nằm trong mạng cục bộ, tương tự như giao thức VPN hoặc SSH. Cụm hoạt động này lần đầu được quan sát vào tháng 2 năm 2024, tăng mạnh từ tháng 5 đến tháng 7, và trong những tháng gần đây phần lớn các chiến dịch đều dẫn tới RAT có tên Xworm. Trong đa số chiến dịch, các thông điệp chứa URL hoặc tệp đính kèm sẽ dẫn tới tệp Internet Shortcut (.URL). Khi được thực thi, tệp này kết nối tới một dịch vụ chia sẻ tệp bên ngoài qua WebDAV để tải xuống tệp LNK hoặc VBS. Khi chạy, LNK/VBS sẽ thực thi tệp BAT hoặc CMD nhằm tải gói cài đặt Python và một loạt script Python để cài mã độc. Trong một số trường hợp, chúng sử dụng trình xử lý giao thức search-ms để tìm LNK trên chia sẻ WebDAV. Thông thường, các chiến dịch cũng hiển thị một tệp PDF vô hại để trông có vẻ hợp pháp với người dùng.

Ví dụ chiến dịch

Chiến dịch AsyncRAT / Xworm ngày 28 tháng 5 năm 2024 Proofpoint quan sát một chiến dịch phát tán AsyncRAT và Xworm vào ngày 28 tháng 5 năm 2024. Trong chiến dịch này, các thông điệp theo chủ đề thuế dẫn tới một tệp nén chứa tệp URL. Chiến dịch nhắm vào các tổ chức trong lĩnh vực pháp lý và tài chính, với tổng số dưới 50 thông điệp. Tệp URL trỏ tới một tệp LNK từ xa. Khi thực thi, một script trợ giúp CMD gọi PowerShell để tải xuống một gói Python nén và các script Python. Gói và script Python này dẫn tới việc cài đặt AsyncRAT và Xworm.

Chiến dịch AsyncRAT / Xworm ngày 11 tháng 7 năm 2024 Các nhà nghiên cứu quan sát thêm một chiến dịch khác vào ngày 11 tháng 7 năm 2024, sử dụng Cloudflare Tunnel để phát tán AsyncRAT và Xworm. Chiến dịch này nhắm vào các tổ chức trong nhiều lĩnh vực như tài chính, sản xuất và công nghệ, với hơn 1.500 thông điệp. Trong chiến dịch này, tệp đính kèm HTML trỏ tới tệp LNK bằng cách chứa truy vấn search-ms. Khi thực thi, một tệp BAT bị làm rối sẽ gọi PowerShell để tải gói cài đặt Python và các script, rồi thực thi AsyncRAT và Xworm.

Quy kết

Dựa trên các chiến thuật, kỹ thuật và quy trình (TTP) được quan sát trong các chiến dịch, Proofpoint đánh giá đây là một cụm của các hoạt động có liên quan. Các nhà nghiên cứu chưa quy hoạt động này cho một tác nhân đe dọa cụ thể, nhưng việc nghiên cứu vẫn đang tiếp tục.

Tầm quan trọng

Việc sử dụng Cloudflare Tunnel mang lại cho kẻ tấn công sự linh hoạt để mở rộng hoạt động bằng hạ tầng tạm thời. Điều này khiến các bên phòng thủ và các biện pháp bảo mật truyền thống khó dựa vào danh sách chặn tĩnh. Các instance Cloudflare tạm thời cung cấp cho kẻ tấn công một cách chuẩn bị tấn công với chi phí thấp, đồng thời giảm thiểu mức độ lộ diện trước việc phát hiện và gỡ bỏ. Việc kẻ tấn công dùng script Python để phát tán mã độc là điểm đáng chú ý. Khi đóng gói thư viện Python và trình cài đặt tệp thực thi cùng với script Python, chúng có thể tải xuống và chạy mã độc ngay cả trên những máy trước đó chưa cài Python. Các tổ chức nên hạn chế sử dụng Python nếu không cần thiết cho chức năng công việc của từng cá nhân. Trong những tháng gần đây, Proofpoint cũng quan sát các chiến dịch phát tán mã độc dựa trên Java, trong đó tệp ZIP chứa JAR và Java Runtime Environment (JRE) để sau khi cài đúng phần mềm sẽ chạy downloader hoặc dropper. Chuỗi tấn công đòi hỏi nạn nhân phải có mức độ tương tác đáng kể để thực thi payload cuối cùng. Điều này tạo ra nhiều cơ hội để người nhận nhận biết hoạt động đáng ngờ và làm gián đoạn chuỗi tấn công.

Chữ ký Emerging Threats

Bộ quy tắc Emerging Threats bao gồm các quy tắc phát hiện mã độc được xác định trong chiến dịch này. Ví dụ:

• 2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
• 2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes
• 2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes(Client)
• 2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
• 2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed

Ví dụ chỉ báo xâm nhập

Tóm tắt của GN⁺

• Bài viết đề cập đến sự gia tăng của hoạt động phát tán mã độc lạm dụng Cloudflare Tunnel
• Kẻ tấn công sử dụng script Python để phát tán mã độc, khiến việc phát hiện và gỡ bỏ trở nên khó khăn hơn
• Các tổ chức nên hạn chế việc sử dụng Python và giới hạn quyền truy cập vào các dịch vụ chia sẻ tệp bên ngoài
• Những dự án khác có tính năng tương tự bao gồm nhiều giải pháp bảo mật khác nhau