Cloudflare Tunnel का दुरुपयोग कर RAT वितरित करने वाले थ्रेट एक्टर
(proofpoint.com)- फ़रवरी 2024 से देखी गई साइबर अपराध गतिविधि में TryCloudflare Tunnel का दुरुपयोग कर malware वितरित किया गया, 5–7 जुलाई के बीच गतिविधि बढ़ी और हाल की अधिकांश campaigns अंततः Xworm तक पहुँचीं
- हमला email के URL या attachment से .URL फ़ाइल तक ले जाता है, फिर WebDAV, LNK/VBS, BAT/CMD, Python installation package और scripts के जरिए RAT install होता है
- जून–जुलाई में Xworm का अनुपात सबसे अधिक था, लेकिन पहले की campaigns में AsyncRAT, VenomRAT, GuLoader, Remcos भी इस्तेमाल हुए, और कुछ Python scripts ने कई payloads को अलग-अलग install किया
- campaigns का पैमाना सैकड़ों से लेकर दसियों हज़ार संदेशों तक था और इन्होंने दुनिया भर में दर्जनों से लेकर हज़ारों संगठनों को प्रभावित किया, जहाँ invoice, document request, delivery, tax जैसे business-themed lures और कई भाषाओं का उपयोग हुआ
- अस्थायी Cloudflare infrastructure और Python bundling से blocking और takedown कठिन हो जाते हैं, लेकिन अंतिम execution तक पहुँचने के लिए user interaction कई बार चाहिए, जैसे link click करना, file चलाना, और archive extract करना
TryCloudflare Tunnel का दुरुपयोग कैसे हुआ
- यह गतिविधि Cloudflare Tunnels को malware delivery infrastructure की तरह उपयोग करने वाला एक cybercrime cluster है
- हमलावरों ने जिस सुविधा का दुरुपयोग किया, वह TryCloudflare है, जो account बनाए बिना one-time tunnel बनाने देती है
- tunnel, VPN या SSH की तरह काम करता है और local network के बाहर से data और resources तक remote access देता है
- हर बार TryCloudflare Tunnel इस्तेमाल करने पर
trycloudflare[.]comका एक random subdomain बनता है- उदाहरण:
ride-fatal-italic-information[.]trycloudflare[.]com - इस subdomain का traffic Cloudflare के जरिए operator के local server तक proxy किया जाता है
- उदाहरण:
- TryCloudflare Tunnel का दुरुपयोग 2023 में व्यापक रूप से शुरू हुआ था और cybercrime threat actors के बीच इसका उपयोग बढ़ रहा है
attack chain और payloads
- अधिकांश campaigns में संदेश के अंदर का URL या attachment इंटरनेट shortcut .URL फ़ाइल तक ले जाता है
- .URL चलने पर यह external file share से जुड़कर LNK या VBS फ़ाइल download करता है
- external file sharing आम तौर पर WebDAV का उपयोग करती है
- कुछ file staging में search-ms protocol handler का उपयोग कर WebDAV share से LNK लाया जाता है
- इसके बाद LNK/VBS, BAT या CMD फ़ाइल चलाता है, और यह फ़ाइल Python installation package तथा कई Python scripts download कर malware install करवाती है
- user को इसे वैध document समझाने के लिए साथ में निर्दोष PDF दिखाना आम बात है
- जून–जुलाई में देखी गई लगभग सभी campaigns ने Xworm वितरित किया
- पहले की campaigns में AsyncRAT, VenomRAT, GuLoader, Remcos भी वितरित किए गए
- कुछ campaigns कई malicious payloads तक जाती हैं, जहाँ हर Python script अलग malware install करती है
campaign का पैमाना और lures
- campaign संदेशों का पैमाना सैकड़ों से लेकर दसियों हज़ार तक अलग-अलग था
- प्रभाव का दायरा दुनिया भर के दर्जनों से हज़ारों संगठनों तक फैला था
- lure भाषाओं में English के अलावा French, Spanish और German भी देखी गईं
- Xworm, AsyncRAT और VenomRAT campaigns आम तौर पर Remcos या GuLoader delivery campaigns की तुलना में बड़े पैमाने पर चलीं
- lure विषय उन business संदर्भों पर केंद्रित थे जिन्हें लोग खोलने की अधिक संभावना रखते हैं
- invoice
- document request
- delivery
- tax
tactics में बदलाव और detection evasion
- campaign की tactics, techniques और procedures कुल मिलाकर काफ़ी consistent रहीं, लेकिन हमलावर attack chain के कुछ हिस्से बदलकर sophistication और defense evasion बढ़ाने की कोशिश करते हैं
- शुरुआती campaigns के helper scripts में बहुत कम या बिल्कुल भी obfuscation नहीं था
- scripts में code function को विस्तार से समझाने वाली comments भी शामिल थीं
- जून 2024 से code में obfuscation शामिल होना शुरू हुआ
- इस गतिविधि को किसी विशेष tracked threat actor से attribute नहीं किया गया है, बल्कि संबंधित campaigns के TTP के आधार पर इसे एक activity cluster के रूप में समूहित किया गया है
28 मई 2024 campaign
- 28 मई 2024 की campaign ने AsyncRAT और Xworm वितरित किए
- tax-themed संदेश में URL शामिल था, और वह URL compressed .URL फ़ाइल तक ले जाता था
- target legal और financial organizations थे, और कुल संदेश 50 से कम थे
- .URL फ़ाइल remote .LNK फ़ाइल की ओर इशारा करती थी
- execution पर CMD helper script, PowerShell को call कर compressed Python package और Python scripts download कराती थी
- Python package और scripts अंततः AsyncRAT और Xworm install करते थे
11 जुलाई 2024 campaign
- 11 जुलाई 2024 की campaign ने भी Cloudflare tunnel का उपयोग कर AsyncRAT और Xworm वितरित किए
- campaign में 1,500 से अधिक संदेश शामिल थे और इसने finance, manufacturing, technology सहित कई sectors की organizations को target किया
- संदेशों में search-ms query वाला HTML attachment शामिल था, जो LNK फ़ाइल की ओर इशारा करता था
- execution पर यह obfuscated BAT फ़ाइल तक पहुँचता था, जो PowerShell को call कर Python installation package और scripts download करती थी
- download किए गए components अंततः AsyncRAT और Xworm execution तक ले जाते थे
defense के दृष्टिकोण से महत्वपूर्ण बिंदु
- Cloudflare tunnels हमलावरों को अस्थायी infrastructure के साथ operation को scale करने और instances को तेज़ी से बनाने व हटाने की सुविधा देते हैं
- अस्थायी Cloudflare instances static blocklists पर निर्भर पारंपरिक security controls और defenders के लिए स्थिति को अधिक कठिन बनाते हैं
- Python script-आधारित delivery method पर विशेष ध्यान देना ज़रूरी है
- Python libraries और executable installers को Python scripts के साथ bundle करने पर, Python पहले से install न होने वाले hosts पर भी malware download और execute किया जा सकता है
- जिन संगठनों को regular business work के लिए Python की आवश्यकता नहीं है, उन्हें Python usage सीमित करना चाहिए
- malicious files के साथ software package deliver करने का यह पहला मामला नहीं है
- हाल में Java-आधारित malware campaigns में ZIP के भीतर JAR और Java Runtime Environment को साथ रखे जाने के उदाहरण देखे गए, ताकि downloader या dropper execution से पहले आवश्यक software install हो जाए
- अंतिम payload execution के लिए victim से काफ़ी अधिक interaction चाहिए
- malicious link पर click करना
- LNK या VBS जैसी कई files पर double-click करना
- compressed scripts को extract करना
- यह प्रक्रिया recipient को suspicious activity पहचानने और attack chain रोकने के कई मौके देती है
- payload staging और delivery के लिए WebDAV और Server Message Block(SMB) का उपयोग करने वाले threat actors की संख्या बढ़ रही है
- organizations को external file sharing services तक access सिर्फ ज्ञात allowlist servers तक सीमित करना चाहिए
detection rules और indicators of compromise
- Emerging Threats ruleset में इस campaign में पहचाने गए malware की detection शामिल है
- उदाहरण rules:
2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes (Client)2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed
- indicators of compromise के उदाहरण:
spectrum-exactly-knitting-rural[.]trycloudflare[.]com: TryCloudflare Host, मई 2024 में पहली बार देखा गया157[.]20[.]182[.]172: Xworm C2 IP, मई 2024 में पहली बार देखा गयाdcxwq1[.]duckdns[.]org: AsyncRAT C2, मई 2024 में पहली बार देखा गयाride-fatal-italic-information[.]trycloudflare[.]com: TryCloudflare Host, जुलाई 2024 में पहली बार देखा गयाtodfg[.]duckdns[.]org: AsyncRAT C2, जुलाई 2024 में पहली बार देखा गयाwelxwrm[.]duckdns[.]org: Xworm C2, जुलाई 2024 में पहली बार देखा गयाxwor3july[.]duckdns[.]org: Xworm C2, जुलाई 2024 में पहली बार देखा गया
1 टिप्पणियां
Hacker News की राय
वह दौर अब बीत चुका है जब malicious software संदिग्ध
.rudomains या bulletproof hosting providers के exposed IP से फैलाया जाता थाattackers भी अब GCP, AWS, Azure, Cloudflare जैसी वही infrastructure इस्तेमाल करते हैं जिसे सब इस्तेमाल करते हैं, और devices में उसी तरह के VPN से access करते हैं जैसा आपके दादा-दादी Netflix देखने के लिए इस्तेमाल करते हैं
इंटरनेट धीरे-धीरे ऐसे model की ओर जा रहा है जहाँ IP addresses और domain names security indicators के तौर पर बेकार होते जा रहे हैं; आप Cloudflare या AWS ranges को block नहीं कर सकते, और major commercial VPN users को sites से block करना भी मुश्किल है
ऊपर से traffic और name lookups दोनों encrypted हैं, इसलिए network operators यह नहीं जान सकते कि user इंटरनेट पर क्या कर रहा है
यह privacy और anonymity बढ़ाने, network security solutions की उपयोगिता घटाकर networks को फिर से सरल बनाने और ossification रोकने, तथा inefficient whack-a-mole industry के बजाय मूलभूत security problems पर ध्यान दिलाने के लिहाज से अच्छा बदलाव है
हाल में मुझे वह tumblelog backend software ठीक करना पड़ा जो
yt-dlpसे Reddit videos download करता है, क्योंकि Reddit ने Hetzner dedicated server IP ranges को block कर दिया थाआखिरकार मैंने इसे इस तरह bypass किया कि JavaScript से client पर video download हो और फिर मेरे server पर upload हो
कुछ websites पहले से ऐसा कर रही हैं, और मैं भी इस पर विचार कर रहा हूँ
साथ ही TOR exit node IP list लेकर TOR को block करना भी व्यावहारिक है; TOR blocking से malicious actors के कारण होने वाली बहुत-सी परेशानियाँ कम हुई हैं
खासकर जब मामला copyright जैसी उन चीज़ों का न हो जो बड़े corporations को खास तौर पर असुविधा पहुँचाती हैं; और अगर mainstream providers इस्तेमाल करके भी सज़ा से बचा जा सकता है, तो bulletproof hosting या shady registrars इस्तेमाल करने की जरूरत ही क्या है
सबसे बुरा scenario यह होगा कि पूरा इंटरनेट Facebook जैसा बन जाए, जहाँ कुछ देखने भर के लिए भी वास्तविक identity से अलग न किया जा सकने वाला account चाहिए हो
link shorteners जैसी चीज़ों के जरिए malware “delivery” वाली headlines से अब ऊब होने लगी है
इसमें हैरानी की बात नहीं कि लोगों के पास इंटरनेट पर files upload करने के कई तरीके हैं
final destination user और company के security stack दोनों से पूरी तरह छिपी रहती है
अगर Cloudflare खुद को security product के रूप में बेचना चाहता है, तो अपनी service पर malware monitoring की उम्मीद करना मुझे unreasonable नहीं लगता
Cloudflare को सिर्फ enabler बताकर निशाना बनाना बड़ी तस्वीर को miss करना है
पहले Windows में autorun बंद करना पड़ता था ताकि गलती से malicious drive से infection न हो, लेकिन कोई CD-RW या flash drive manufacturers को दोष नहीं देता था
जब मैंने स्पष्ट phishing और malware hosting report की है, तो मुझे याद नहीं कि कभी सच में action लिया गया हो
मूल सलाह अच्छी थी—“जिसे पहचान न सको, उसे मत खाओ”—लेकिन कहीं यह “जिसे पहचान न सको, उसे मत देखो” में बदल गई
फिर भी अगर users यह सलाह follow न कर पाएं तो उन्हें बेवकूफ जैसा treat किया जाता है, जिससे users अक्सर यह नहीं समझ पाते कि वास्तविक threats दिखते कैसे हैं
बेहतर तरीका यह होगा कि सभी links को safely click किया जा सके, और केवल execution जैसे risky actions से बचना पड़े
तभी आप जो मिले उसे threatening या trustworthy के रूप में flag करके colleagues की भी मदद कर पाएंगे
इस tool के abuse के बारे में मैंने लगभग ठीक 1 साल पहले ही लिखा था[0]
यहाँ नया सिर्फ इतना दिखता है कि tunnel के जरिए क्या किया जा रहा है, और यह तरीका इतना सफल हो रहा है कि overall attack techniques में इसकी हिस्सेदारी बढ़ रही है
मेरे हिसाब से TryCloudflare असली समस्या है
account की बिल्कुल जरूरत नहीं होती, इसलिए attribution tracking लगभग असंभव हो जाती है
0: https://www.guidepointsecurity.com/blog/tunnel-vision-cloudf...
मुफ्त instant tunnel products का अंत शायद आखिरकार यही होता है
ngrok भी शुरुआत में frictionless tunneling के लिए अच्छा था, लेकिन इसी तरह के abuse के कारण अंततः सब कुछ signup flow के पीछे रखना पड़ा
अगर user से जुड़ी accountability के बिना free end-to-end encryption देते हैं, तो यह abuse को न्योता देने जैसा है
Cloudflare tunnel न हो तो तरीका यह होगा कि URL में payload वाली webpage को Google Translate से खोलने को कहा जाए
यह newsworthy कहना मुश्किल है
शायद यही वजह है कि इंटरनेट पर अच्छी चीज़ें नहीं मिल पातीं—यहाँ Cloudflare की अच्छी features की बात है
क्या आपको पता था कि Cloudflare से मुफ्त में email भेजा जा सकता था? (https://blog.cloudflare.com/sending-email-from-workers-with-...)
अब नहीं हो सकता
shutdown जरूरी नहीं कि Cloudflare की गलती रहा हो, लेकिन यह अच्छी service के abuse होकर खत्म हो जाने का मिलता-जुलता उदाहरण है
बहुत पहले Cloudflare में custom error pages के लिए CSS और HTML को “preview” करने की feature थी
मूल रूप से preview feature query string में डाले गए CSS और HTML को लेकर
cloudflarepreview.com/...पर वैसा ही दिखाता थामैंने इसे report करते हुए दिखाया कि “Cloudflare beta preview access करने के लिए अपने Cloudflare account से login करें!” जैसी page बहुत आसानी से बनाई जा सकती है और Cloudflare login credentials चुराए जा सकते हैं
bug bounty को “cloudflarepreview playground की प्रकृति के कारण accepted” कहते हुए बंद कर दिया गया, और बाद में URL में JWT token जोड़कर fix किया गया, लेकिन कोई reward नहीं मिला
मैं लंबे समय से Cloudflare customer रहा हूँ, लेकिन products में कई ऐसे अंधेरे कोने दिखते हैं जिन पर abuse होने तक ज्यादा ध्यान नहीं दिया जाता, और मुझे शक है कि यह TryCloudflare भी उन्हीं में से एक है
“कोई भी moderation और abuse prevention पर पर्याप्त पैसा खर्च नहीं करना चाहता” वाली समस्या देखते हुए, मैं सोचता हूँ कि शुरुआती PGP era में online identity के distributed trust/distrust network का जो idea बताया जाता था, उसका क्या हुआ
अब वह बस कुछ हद तक social media accounts में बचा है जिन्हें followers की संख्या, followers के followers और उसके नीचे endless bots के आधार पर “trusted” माना जाता है, या PageRank और search engine optimization abuse जैसी forms में
सोच रहा हूँ कि इस तरह के attack को वह कुख्यात endpoint security program, जैसे ClownStrike, पकड़ पाता या नहीं
यह traffic शायद तभी दिखाई देगी जब attacker किसी known remote access Trojan को reuse करने जितना inexperienced हो
exeexecution को ही block करने के लिए configure किया जा सकता हैइससे फर्क नहीं पड़ता कि attacker known malicious executable इस्तेमाल कर रहा है या नहीं
यहाँ मुझे AOL free trial account discs के इधर-उधर पड़े रहने वाले दिन याद आ गए
कई communities में AOL subdomains तुरंत block कर दिए जाते थे
*.ipt.aol.comको भी block करना जरूरी थाक्योंकि किसी AOL user ने
HOST.ipt.aol.comreverse DNS का इस्तेमाल करके blocking को evade किया और सबके लिए परेशानी पैदा की थीProdigy / CompuServe / Blue Light generation भी यहाँ मौजूद है