Atacatorii de amenințări găsesc continuu noi metode de a exploata tehnologiile pentru a-și desfășura activitățile rău intenționate. Un exemplu recent este abuzul de tuneluri Cloudflare pentru a livra troieni de acces la distanță (RATs), o tactică care a fost observată și documentată de echipa de cercetare Proofpoint.
Această tehnică implică utilizarea funcției TryCloudflare, care permite crearea unui tunel unic fără a fi necesar un cont. Tunelurile sunt similare cu utilizarea unei rețele private virtuale (VPN) sau a unui protocol de shell securizat (SSH), permițând accesul la distanță la date și resurse care nu se află pe rețeaua locală. Această abordare a fost observată pentru prima dată în februarie 2024 și a crescut în activitate în lunile mai până în iulie, cu majoritatea campaniilor ducând la instalarea RAT-ului Xworm în ultimele luni.
Modul de operare include mesaje care conțin un URL sau un atașament ce duce la un fișier de tip internet shortcut (.URL). Odată executat, acesta stabilește o conexiune cu un spațiu de stocare extern, de obicei prin WebDAV, pentru a descărca un fișier LNK sau VBS. Executarea acestor fișiere duce la descărcarea unui pachet de instalare Python și a unei serii de scripturi Python care rezultă în instalarea malware-ului.
Campaniile variază în volum, de la sute la zeci de mii de mesaje, afectând zeci până la mii de organizații la nivel global. În plus față de engleză, cercetătorii au observat și momeli în limbile franceză, spaniolă și germană. Temele momelilor variază, dar includ de obicei subiecte relevante pentru afaceri, cum ar fi facturi, solicitări de documente, livrări de colete și taxe.
În timp ce tactica, tehnicile și procedurile (TTPs) ale campaniilor rămân consistente, actorul amenințării pare să modifice diferite părți ale lanțului de atac pentru a crește sofisticarea și evitarea apărării. De exemplu, campaniile inițiale au folosit puțină sau deloc ofuscare în scripturile lor auxiliare. Scripturile adesea includeau comentarii detaliate despre funcționalitatea codului.
Această situație subliniază importanța unei vigilențe continue și a actualizării cunoștințelor în domeniul securității cibernetice, pentru a putea răspunde rapid și eficient la amenințările în evoluție. Pentru mai multe informații despre această problemă și pentru a rămâne la curent cu cele mai recente evoluții în securitatea cibernetică, vizitați blogul Proofpoint.
