مجرمو الإنترنت يسيئون استخدام أنفاق Cloudflare لتجنب اكتشاف البرامج الضارة ونشرها
تحذر شركات الأمن السيبراني من زيادة طفيفة في إساءة استخدام خدمة TryCloudflare المجانية من Cloflare لتوصيل البرامج الضارة.
النشاط، موثق من قبل كليهما eSentire و نقطة إثبات، يستلزم استخدام TryCloudflare لإنشاء نفق لمرة واحدة يعمل كقناة لنقل حركة المرور من خادم يتحكم فيه المهاجم إلى جهاز محلي من خلال البنية التحتية لـ Cloudflare.
وقد لوحظ أن سلاسل الهجوم التي تستفيد من هذه التقنية تقدم مزيجًا من عائلات البرامج الضارة مثل AsyncRAT وGuLoader وPureLogs Stealer وRemcos RAT وVenom RAT وXWorm.
ناقل الوصول الأولي عبارة عن بريد إلكتروني تصيدي يحتوي على أرشيف ZIP، والذي يتضمن ملف اختصار URL الذي يقود مستلم الرسالة إلى ملف اختصار Windows مستضاف على خادم WebDAV الوكيل لـ TryCloudflare.
يقوم ملف الاختصار بدوره بتنفيذ البرامج النصية الدفعية للمرحلة التالية المسؤولة عن استرداد وتنفيذ حمولات Python الإضافية، بينما يعرض في الوقت نفسه مستند PDF خادعًا مستضافًا على نفس خادم WebDAV لمواصلة الحيلة.
وأشار eSentire إلى أن “هذه البرامج النصية نفذت إجراءات مثل إطلاق ملفات PDF وهمية، وتنزيل حمولات ضارة إضافية، وتغيير سمات الملف لتجنب اكتشافها”.
“كان أحد العناصر الأساسية في استراتيجيتهم هو استخدام مكالمات النظام المباشرة لتجاوز أدوات مراقبة الأمان، وفك تشفير طبقات كود القشرة، ونشر قائمة انتظار Early Bird APC لتنفيذ التعليمات البرمجية خلسة وتجنب الاكتشاف بفعالية.”
وفقًا لـ Proofpoint، تتم كتابة إغراءات التصيد الاحتيالي باللغات الإنجليزية والفرنسية والإسبانية والألمانية، وتتراوح أحجام البريد الإلكتروني من مئات إلى عشرات الآلاف من الرسائل التي تستهدف مؤسسات من جميع أنحاء العالم. تغطي الموضوعات مجموعة واسعة من المواضيع مثل الفواتير وطلبات المستندات وتسليم الطرود والضرائب.
على الرغم من أن الحملة تُنسب إلى مجموعة واحدة من الأنشطة ذات الصلة، إلا أنها لم يتم ربطها بجهة تهديد أو مجموعة محددة، لكن مورد أمن البريد الإلكتروني قيمها على أنها ذات دوافع مالية.
تم تسجيل استغلال TryCloudflare لأغراض ضارة لأول مرة في العام الماضي، عندما كشفت Sysdig عن حملة تعدين خفي وقرصنة للبروكسي أطلق عليها اسم LABRAT والتي استخدمت عيبًا خطيرًا تم تصحيحه الآن في GitLab لاختراق الأهداف وإخفاء خوادم القيادة والتحكم (C2) الخاصة بهم باستخدام Cloudflare الأنفاق.
علاوة على ذلك، فإن استخدام WebDAV وServer Letter Block (SMB) لتنظيم الحمولة النافعة وتسليمها يتطلب من المؤسسات تقييد الوصول إلى خدمات مشاركة الملفات الخارجية على الخوادم المعروفة والمدرجة في القائمة المسموح بها فقط.
وقال جو وايز وسيلينا لارسون، الباحثان في Proofpoint: “إن استخدام أنفاق Cloudflare يوفر للجهات الفاعلة في مجال التهديد طريقة لاستخدام البنية التحتية المؤقتة لتوسيع نطاق عملياتها مما يوفر المرونة لبناء الحالات وإزالتها في الوقت المناسب”.
“وهذا يجعل الأمر أكثر صعوبة بالنسبة للمدافعين والتدابير الأمنية التقليدية مثل الاعتماد على قوائم الحظر الثابتة. تتيح مثيلات Cloudflare المؤقتة للمهاجمين طريقة منخفضة التكلفة لشن هجمات باستخدام نصوص برمجية مساعدة، مع تعرض محدود لجهود الكشف والإزالة.”
تأتي هذه النتائج في الوقت الذي دعا فيه مشروع Spamhaus Cloudflare إلى مراجعة سياسات مكافحة إساءة الاستخدام بعد استغلال مجرمي الإنترنت لخدماتها لإخفاء الإجراءات الضارة وتعزيز أمنهم التشغيلي عن طريق ما يسمى “الخدمات الموثوقة” (LoTS). .
هو – هي قال إنه “يلاحظ أن الأوغاد ينقلون نطاقاتهم، المدرجة بالفعل في DBL، إلى Cloudflare لإخفاء الواجهة الخلفية لعملهم، سواء كانت نطاقات غير مرغوب فيها أو تصيدًا أو ما هو أسوأ.”
إرسال التعليق