Cloudflare Tunnel का दुरुपयोग कर Remote Access Trojan फैलाने वाले threat actor

 (proofpoint.com)
2 पॉइंट द्वारा GN⁺ 2024-08-03 | 1 टिप्पणियां | WhatsApp पर शेयर करें

मुख्य निष्कर्ष

  • Proofpoint ने TryCloudflare Tunnel का दुरुपयोग कर malware वितरण में वृद्धि देखी है
  • यह गतिविधि आर्थिक रूप से प्रेरित है और remote access trojan (RATs) फैलाती है
  • शुरुआती अवलोकन के बाद, हमलावरों ने detection से बचने और दक्षता बढ़ाने के लिए tactics, techniques, and procedures में बदलाव किए
  • Proofpoint ने इस गतिविधि को किसी विशिष्ट threat actor से नहीं जोड़ा है, लेकिन शोध जारी है

अवलोकन

Proofpoint Cloudflare Tunnels का दुरुपयोग कर malware फैलाने वाली cybercrime गतिविधि को ट्रैक कर रहा है। खास तौर पर, हमलावर TryCloudflare फीचर का दुरुपयोग करते हैं, जो अकाउंट बनाए बिना one-time tunnel बनाने की सुविधा देता है। Tunnel, VPN या SSH protocol की तरह, local network के बाहर मौजूद data और resources तक remote access संभव बनाते हैं। फरवरी 2024 में पहली बार देखे गए इस cluster की गतिविधि मई से जुलाई के बीच बढ़ी, और हाल के महीनों में ज्यादातर campaigns का अंत Xworm नाम के RAT पर हुआ। अधिकांश campaigns में URL या attachment वाले संदेश internet shortcut (.URL) file तक ले जाते हैं। इसे चलाने पर यह WebDAV के जरिए external file share से जुड़कर LNK या VBS file डाउनलोड करता है। चलने पर LNK/VBS, BAT या CMD file को execute करता है, जो Python installation package और कई Python scripts डाउनलोड कर malware install करते हैं। कुछ मामलों में WebDAV share से LNK खोजने के लिए search-ms protocol handler का इस्तेमाल किया गया। आम तौर पर campaigns में user को वैध लगे, इसके लिए harmless PDF भी दिखाया जाता है।

अभियान उदाहरण

AsyncRAT / Xworm अभियान 28 मई 2024 Proofpoint ने 28 मई 2024 को AsyncRAT और Xworm फैलाने वाला एक campaign देखा। इस campaign में tax-theme वाले संदेश ZIP file से जुड़ते थे, जिसमें URL file शामिल थी। यह campaign legal और financial sectors की संस्थाओं को निशाना बनाता था और कुल संदेशों की संख्या 50 से कम थी। URL file एक remote LNK file की ओर इशारा करती थी। इसे चलाने पर CMD helper script, PowerShell को call कर compressed Python package और Python scripts डाउनलोड करती थी। Python package और scripts, AsyncRAT और Xworm की installation तक ले जाते थे।

AsyncRAT / Xworm अभियान 11 जुलाई 2024 शोधकर्ताओं ने 11 जुलाई 2024 को Cloudflare tunnel का उपयोग कर AsyncRAT और Xworm फैलाने वाला एक और campaign देखा। इस campaign में finance, manufacturing और technology सहित कई sectors की संस्थाओं को निशाना बनाया गया और इसमें 1,500 से अधिक संदेश शामिल थे। इस campaign में HTML attachment, search-ms query शामिल कर LNK file की ओर इशारा करता था। इसे चलाने पर obfuscated BAT file, PowerShell को call कर Python installation package और scripts डाउनलोड करती थी, जिससे AsyncRAT और Xworm execute होते थे।

Attribution

Campaigns में देखी गई tactics, techniques, and procedures (TTP) के आधार पर Proofpoint इसे संबंधित गतिविधियों के एक cluster के रूप में आंकता है। शोधकर्ताओं ने इस गतिविधि को किसी विशिष्ट threat actor से attributed नहीं किया है, लेकिन शोध जारी है।

महत्व

Cloudflare tunnel का उपयोग हमलावरों को temporary infrastructure के सहारे अपने operations को scale करने की flexibility देता है। इससे defenders और पारंपरिक security measures के लिए static blocklists पर निर्भर रहना कठिन हो जाता है। Temporary Cloudflare instances हमलावरों को detection और takedown exposure को न्यूनतम रखते हुए हमले तैयार करने का low-cost तरीका देते हैं। Malware वितरण में Python scripts का उपयोग खास तौर पर उल्लेखनीय है। Python libraries और executable installers को Python scripts के साथ package करने पर, वे उन hosts पर भी malware डाउनलोड और execute कर सकते हैं जहां पहले से Python installed न हो। Organizations को Python का उपयोग सीमित करना चाहिए, यदि वह किसी व्यक्ति की job function के लिए आवश्यक न हो। हाल के महीनों में Proofpoint ने Java-आधारित malware फैलाने वाले campaigns भी देखे हैं, जिनमें ZIP के भीतर JAR और Java Runtime Environment (JRE) शामिल होते हैं, ताकि सही software install होने के बाद downloader या dropper चलाया जा सके। Attack chain में final payload execute करने के लिए victim की काफी interaction की जरूरत होती है। इससे recipients को संदिग्ध गतिविधि पहचानने और attack chain बाधित करने के कई मौके मिलते हैं।

Emerging Threats signatures

Emerging Threats rule set में इस campaign में पहचाने गए malware का पता लगाने वाले rules शामिल हैं। उदाहरण:

  • 2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
  • 2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes
  • 2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes(Client)
  • 2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
  • 2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed

उदाहरण compromise indicators

Indicator विवरण पहली बार देखा गया
spectrum-exactly-knitting-rural[.]trycloudflare[.]com Trycloudflare host मई 2024
53c32ea384894526992d010c0c49ffe250d600b9b4472cce86bbd0249f88eada .URL SHA256 मई 2024
a79fbad625a5254d4f7f39461c2d687a1937f3f83e184bd62670944462b054f7 LNK SHA256 मई 2024
0f1118b30b2da0b6e82f95d9bbf87101d8298a85287f4de58c9655eb8fecd3c6 CMD SHA256 मई 2024
157[.]20[.]182[.]172 Xworm C2 IP मई 2024
dcxwq1[.]duckdns[.]org AsyncRAT C2 मई 2024
a40f194870b54aeb102089108ecf18b3af9b449066a240f0077ff4edbb556e81 HTML SHA256 जुलाई 2024
3867de6fc23b11b3122252dcebf81886c25dba4e636dd1a3afed74f937c3b998 LNK SHA256 जुलाई 2024
ride-fatal-italic-information[.]trycloudflare[.]com Trycloudflare host जुलाई 2024
0fccf3d1fb38fa337baf707056f97ef011def859901bb922a4d0a1f25745e64f BAT SHA256 जुलाई 2024
todfg[.]duckdns[.]org AsyncRAT C2 जुलाई 2024
welxwrm[.]duckdns[.]org Xworm C2 जुलाई 2024
xwor3july[.]duckdns[.]org Xworm C2 जुलाई 2024

GN⁺ की संक्षिप्त प्रस्तुति

  • यह लेख Cloudflare tunnel के दुरुपयोग के जरिए बढ़ते malware वितरण पर केंद्रित है
  • हमलावर Python scripts का उपयोग कर malware फैलाते हैं, जिससे detection और removal कठिन हो जाता है
  • Organizations को Python उपयोग सीमित करना चाहिए और external file sharing services तक पहुंच सीमित करनी चाहिए
  • समान क्षमताओं वाले अन्य projects में विभिन्न security solutions शामिल हैं

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-08-03
Hacker News राय

  • वह समय बीत चुका है जब malware संदिग्ध .ru domain या IP address से परोसा जाता था

    • अब threat actors GCP, AWS, Azure, Cloudflare जैसी infrastructure का इस्तेमाल करते हैं
    • VPN भी वही इस्तेमाल करते हैं जो सामान्य उपयोगकर्ता करते हैं
    • IP address और domain name security indicator के रूप में कम उपयोगी हो गए हैं
    • सारा traffic और name lookup encrypted हो गया है, इसलिए network operator के लिए internet गतिविधि जानना मुश्किल हो गया है
    • इससे privacy और anonymity बेहतर होती है, अक्षम network security solutions कम होते हैं, और मूलभूत security समस्याएँ हल करने के लिए मजबूर होना पड़ता है

  • link shortener के जरिए malware distribution पर आने वाली headlines से थकान महसूस होती है

    • लोगों का अलग-अलग तरीकों से internet पर files host कर पाना कोई हैरानी की बात नहीं है

  • Cloudflare की free email forwarding service बंद होने का कारण abuse था

    • जब अच्छी service का दुरुपयोग होता है, तो उसका बंद होना लगभग तय होता है

  • Cloudflare Tunnel के जरिए malicious payload वाली web pages host की जा सकती हैं

    • मुझे नहीं लगता कि इसमें कोई news value है

  • सभी free tunneling products का abuse होने पर अंततः वे paid हो जाते हैं

    • ngrok भी शुरू में आसान था, लेकिन abuse के कारण उसे signup process लानी पड़ी

  • मैंने 1 साल पहले TryCloudflare के malicious use के बारे में लिखा था

    • इसे account के बिना इस्तेमाल किया जा सकता है, इसलिए tracking लगभग असंभव है

  • Cloudflare की custom error page preview feature में एक vulnerability थी

    • उससे login credentials capture किए जा सकते थे
    • JWT token जोड़कर इसे ठीक किया गया, लेकिन bug bounty नहीं दी गई
    • मुझे शक है कि TryCloudflare में भी ऐसी ही समस्या होगी

  • सोचता हूँ कि शुरुआती PGP दौर के distributed web of trust वाले विचार का क्या हुआ

    • आज trust अक्सर social media accounts के follower count जैसी चीज़ों के आधार पर बनता है

  • सोचता हूँ कि क्या endpoint security programs इस तरह के attacks detect कर पाएँगे

    • मेरा मानना है कि जब तक attacker किसी known RAT को reuse न करे, तब तक detection नहीं होगा

  • "I hope this message finds you well" वाक्य देखते ही spam/fraud alert तुरंत बजने लगता है