افزایش بهره‌برداری از سرویس TryCloudflare جهت انتقال بدافزار

افزایش بهره‌برداری از سرویس TryCloudflare جهت انتقال بدافزار

تاریخ ایجاد

سرویس TryCloudflare یک ابزار رایگان محصول شرکت Cloudflare است که به کاربران اجازه می‌دهد تا به‌صورت سریع و آسان یک تونل امن (Secure Tunnel) از دستگاه یا سرور خود به اینترنت ایجاد کنند. این تونل به کاربران امکان می‌دهد تا بدون نیاز به پیکربندی پیچیده یا تغییر تنظیمات شبکه، دسترسی راه دور به برنامه‌ها، سرورها و دیگر منابعی که در شبکه محلی قرار دارند را بدست آورند.
اخیرا، شرکت‌های امنیت سایبری از افزایش بهره‌برداری از سرویس رایگان TryCloudflare برای انتقال و تحویل بدافزار خبر داده‌اند. طبق گزارش‌های منتشرشده، مهاجمان با استفاده از این سرویس توانسته‌اند ترافیک خود را از سرورهای تحت کنترل خود به دستگاه‌های قربانی منتقل کرده و از زیرساخت‌های Cloudflare برای مخفی کردن فعالیت‌های مخرب استفاده کنند.
حملات سایبری که با استفاده از این روش انجام شده‌اند، تاکنون منجر به انتقال بدافزارهای متعددی از جمله AsyncRAT، GuLoader، PureLogs Stealer، Remcos RAT، Venom RAT و XWorm شده‌اند. این حملات معمولاً با ارسال ایمیل‌های فیشینگ با طیف گسترده‌ای از موضوعات مانند فاکتورها، درخواست‌های اسناد، تحویل بسته‌ها و مالیات آغاز می‌شوند. این ایمیل‌ها حاوی فایل‌های ZIP هستند که یک فایل URL Shortcut در آن‌ها قرار داده شده ‌است. پس از کلیک کاربر روی این فایل، او به یک فایل میانبر ویندوز (LNK) هدایت می‌شود که بر روی یک سرور WebDAV مستقر است که از طریق TryCloudflare محافظت می‌شود.
فایل‌های LNK یا "Windows Shortcut" فایل‌هایی هستند که توسط ویندوز برای اشاره به فایل‌های اجرایی استفاده می‌شوند. مهاجمان از این فایل‌ها برای اجرای کدهای مخرب استفاده می‌کنند، به‌ این نحو ‌که با کلیک بر روی فایل LNK، کدهای دیگری مانند اسکریپت‌های دسته‌ای (Batch Scripts) اجرا می‌شوند.
 اسکریپت‌ها مسئولیت دریافت و اجرای payloadهای بدافزار را دارند که به زبان پایتون نوشته شده‌اند. در این میان، به منظور فریب کاربر، یک فایل PDF جعلی را نیز نمایش می‌دهند. بسته‌ی پایتون و اسکریپت‌های مرتبط، پس از دانلود بر روی سیستم قربانی اجرا شده و بدافزارهایی مانند AsyncRAT و XWorm را نصب می‌کنند. سپس بدافزار اقدام به جمع‌آوری اطلاعات حساس از شبکه داخلی شرکت کرده و این اطلاعات را از طریق تونل Cloudflare به سرورهای مهاجمان در خارج از شبکه ارسال می‌کند.
محققان اشاره می‌کنند که مهاجمان برای جلوگیری از شناسایی شدن، تکنیک‌های پیچیده‌ای مانند استفاده از syscallهای مستقیم برای دور زدن ابزارهای نظارتی و تزریق کد به روش "Early Bird APC queue injection" و اجرای مخفیانه‌ی بدافزارهای مختلف با کمک لایه‌های کد رمزنگاری‌شده را به کار می‌برند.
تزریق کد به روش "Early Bird APC queue injection"  یک تکنیک است که به مهاجم اجازه می‌دهد تا کد مخرب خود را در مراحل اولیهی اجرای یک برنامه به درون حافظه تزریق کند. به این ترتیب از شناسایی شدن توسط ابزارهای امنیتی جلوگیری می‌شود.
استفاده از تونل‌های موقت Cloudflare به جهت این که شرایطی فراهم می‌کند تا مهاجمان زیرساخت‌های خود را به سرعت ایجاد کرده و از بین ببرند، شناسایی و مسدودسازی حمله‌ را برای مدافعان امنیتی دشوارتر می‌سازد.
همچنین میزبانی فایل‌های مخرب بر روی سرویس Cloudflare به این دلیل که این سرویس شناخته‌شده و معتبر است، باعث می‌شود که ترافیک مرتبط با این فایل‌ها به نظر قانونی و معتبر بیافتد و کمتر مشکوک به نظر برسد.

توصیه‌های امنیتی
با توجه به پیچیدگی و تنوع تکنیک‌های استفاده‌شده در این حملات، توصیه می‌شود که سازمان‌ها دسترسی به سرویس‌های به اشتراک‌گذاری فایل‌های خارجی را به سرورهای مشخص و مجاز محدود کنند. همچنین، لازم است تدابیر امنیتی همچون نظارت بر فعالیت‌های غیرعادی در سیستم و ترافیک شبکه، محدودسازی دسترسی به فایل‌ها و مسیرهای حساس و استفاده از محیط‌های ایزوله‌شده مانند Docker برای اجرای بسته‌های نرم‌افزاری، به منظور جلوگیری از نفوذ بدافزارها و کاهش آسیب‌های احتمالی اتخاذ گردند.
 

منابع خبر:


[1] https://thehackernews.com/2024/08/cybercriminals-abusing-cloudflare.html
[2] https://www.bleepingcomputer.com/news/security/hackers-abuse-free-trycloudflare-to-deliver-remote-a…