افزایش بهرهبرداری از سرویس TryCloudflare جهت انتقال بدافزار
سرویس TryCloudflare یک ابزار رایگان محصول شرکت Cloudflare است که به کاربران اجازه میدهد تا بهصورت سریع و آسان یک تونل امن (Secure Tunnel) از دستگاه یا سرور خود به اینترنت ایجاد کنند. این تونل به کاربران امکان میدهد تا بدون نیاز به پیکربندی پیچیده یا تغییر تنظیمات شبکه، دسترسی راه دور به برنامهها، سرورها و دیگر منابعی که در شبکه محلی قرار دارند را بدست آورند.
اخیرا، شرکتهای امنیت سایبری از افزایش بهرهبرداری از سرویس رایگان TryCloudflare برای انتقال و تحویل بدافزار خبر دادهاند. طبق گزارشهای منتشرشده، مهاجمان با استفاده از این سرویس توانستهاند ترافیک خود را از سرورهای تحت کنترل خود به دستگاههای قربانی منتقل کرده و از زیرساختهای Cloudflare برای مخفی کردن فعالیتهای مخرب استفاده کنند.
حملات سایبری که با استفاده از این روش انجام شدهاند، تاکنون منجر به انتقال بدافزارهای متعددی از جمله AsyncRAT، GuLoader، PureLogs Stealer، Remcos RAT، Venom RAT و XWorm شدهاند. این حملات معمولاً با ارسال ایمیلهای فیشینگ با طیف گستردهای از موضوعات مانند فاکتورها، درخواستهای اسناد، تحویل بستهها و مالیات آغاز میشوند. این ایمیلها حاوی فایلهای ZIP هستند که یک فایل URL Shortcut در آنها قرار داده شده است. پس از کلیک کاربر روی این فایل، او به یک فایل میانبر ویندوز (LNK) هدایت میشود که بر روی یک سرور WebDAV مستقر است که از طریق TryCloudflare محافظت میشود.
فایلهای LNK یا "Windows Shortcut" فایلهایی هستند که توسط ویندوز برای اشاره به فایلهای اجرایی استفاده میشوند. مهاجمان از این فایلها برای اجرای کدهای مخرب استفاده میکنند، به این نحو که با کلیک بر روی فایل LNK، کدهای دیگری مانند اسکریپتهای دستهای (Batch Scripts) اجرا میشوند.
اسکریپتها مسئولیت دریافت و اجرای payloadهای بدافزار را دارند که به زبان پایتون نوشته شدهاند. در این میان، به منظور فریب کاربر، یک فایل PDF جعلی را نیز نمایش میدهند. بستهی پایتون و اسکریپتهای مرتبط، پس از دانلود بر روی سیستم قربانی اجرا شده و بدافزارهایی مانند AsyncRAT و XWorm را نصب میکنند. سپس بدافزار اقدام به جمعآوری اطلاعات حساس از شبکه داخلی شرکت کرده و این اطلاعات را از طریق تونل Cloudflare به سرورهای مهاجمان در خارج از شبکه ارسال میکند.
محققان اشاره میکنند که مهاجمان برای جلوگیری از شناسایی شدن، تکنیکهای پیچیدهای مانند استفاده از syscallهای مستقیم برای دور زدن ابزارهای نظارتی و تزریق کد به روش "Early Bird APC queue injection" و اجرای مخفیانهی بدافزارهای مختلف با کمک لایههای کد رمزنگاریشده را به کار میبرند.
تزریق کد به روش "Early Bird APC queue injection" یک تکنیک است که به مهاجم اجازه میدهد تا کد مخرب خود را در مراحل اولیهی اجرای یک برنامه به درون حافظه تزریق کند. به این ترتیب از شناسایی شدن توسط ابزارهای امنیتی جلوگیری میشود.
استفاده از تونلهای موقت Cloudflare به جهت این که شرایطی فراهم میکند تا مهاجمان زیرساختهای خود را به سرعت ایجاد کرده و از بین ببرند، شناسایی و مسدودسازی حمله را برای مدافعان امنیتی دشوارتر میسازد.
همچنین میزبانی فایلهای مخرب بر روی سرویس Cloudflare به این دلیل که این سرویس شناختهشده و معتبر است، باعث میشود که ترافیک مرتبط با این فایلها به نظر قانونی و معتبر بیافتد و کمتر مشکوک به نظر برسد.
توصیههای امنیتی
با توجه به پیچیدگی و تنوع تکنیکهای استفادهشده در این حملات، توصیه میشود که سازمانها دسترسی به سرویسهای به اشتراکگذاری فایلهای خارجی را به سرورهای مشخص و مجاز محدود کنند. همچنین، لازم است تدابیر امنیتی همچون نظارت بر فعالیتهای غیرعادی در سیستم و ترافیک شبکه، محدودسازی دسترسی به فایلها و مسیرهای حساس و استفاده از محیطهای ایزولهشده مانند Docker برای اجرای بستههای نرمافزاری، به منظور جلوگیری از نفوذ بدافزارها و کاهش آسیبهای احتمالی اتخاذ گردند.
منابع خبر:
[1] https://thehackernews.com/2024/08/cybercriminals-abusing-cloudflare.html
[2] https://www.bleepingcomputer.com/news/security/hackers-abuse-free-trycloudflare-to-deliver-remote-a…