Primjećeno je da haker poznat kao Gamaredon koristi Cloudflare tunnel kao taktiku da prikrije svoju infrastrukturu za postavljanje u kojoj se nalazi maliciozni softver pod nazivom GammaDrop.
Ova aktivnost je dio tekuće kampanje spear-phishinga usmjerene na ukrajinske entitete barem od početka 2024. godine, a koja je osmišljena da izbaci malver Visual Basic Script, navodi Insikt Group Recorded Future u novoj analizi.
Kompanija za cyber sigurnost prati hakera pod imenom BlueAlpha, koji je takođe poznat kao Aqua Blizzard, Armageddon, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530 i Winterflounder. Grupa, za koju se vjeruje da je aktivna od 2014. godine, povezana je s ruskom Federalnom službom bezbjednosti (FSB).
“BlueAlpha je nedavno počela da koristi Cloudflare tunele za prikrivanje infrastrukture za postavljanje koju koristi GammaDrop , sve popularnija tehnika koju koriste grupe cyber prijetnji za postavljanje maliciozni softvera”, napominje Insikt Group .
“BlueAlpha nastavlja da koristi sistem imena domena (DNS) brzi protok GammaLoad komandne i kontrolne (C2) infrastrukture kako bi zakomplikovao praćenje i ometanje C2 komunikacija kako bi sačuvao pristup kompromitovanim sistemima.”
Protivničevo korištenje Cloudflare tunnel-a ranije je dokumentovalo od strane slovačke kompanije za cyber sigurnost ESET u septembru 2024. godine, kao dio napada usmjerenih na Ukrajinu i razne zemlje NATO-a, odnosno Bugarsku, Latviju, Litvaniju i Poljsku.
Takođe je okarakterizirao zanatstvo aktera prijetnje kao bezobzirnu i ne posebno fokusiranu na stealth, iako se trude da “izbjegnu da ih blokiraju sigurnosni proizvodi i jako se trude da zadrže pristup kompromitovanim sistemima”.
“Gamaredon pokušava da sačuva svoj pristup istovremenom implementacijom više jednostavnih preuzimača ili backdoor-a”, dodao je ESET. “Nedostatak sofisticiranosti Gamaredon alata je nadoknađen čestim ažuriranjima i korištenjem redovno promjenjivih zamagljivanja.”
Alati su uglavnom dizajnirani za krađu vrijednih podataka iz web aplikacija koje se pokreću unutar internet pretraživača, klijenata e-pošte i aplikacija za razmjenu trenutnih poruka kao što su Signal i Telegram, kao i za preuzimanje dodatnih korisnih podataka i širenje zlonamjernog softvera putem povezanih USB diskova.
- PteroPSLoad, PteroX, PteroSand, PteroDash, PteroRisk i PteroPowder – preuzimanje korisnih podataka
- PteroCDrop – Ispuštanje korisnih opterećenja Visual Basic Script-a
- PteroClone – Isporučite korisne terete koristeći uslužni program rclone
- PteroLNK – Oružajte povezane USB diskove
- PteroDig – Oružajte LNK datoteke u folderu Desktop radi postojanosti
- PteroSocks – Osigurajte djelomično SOCKS proxy funkcionalnost
- PteroPShell, ReVBShell – Funkcionira kao udaljena ljuska
- PteroPSDoor, PteroVDoor – Eksfiltrirajte određene datoteke iz sistema datoteka
- PteroScreen – Snimite i eksfiltrirajte snimke ekrana
- PteroSteal – Eksfiltrirajte vjerodajnice pohranjene u web pretraživačima
- PteroCookie – Eksfiltrirajte kolačiće koje pohranjuju web pretraživači
- PteroSig – Eksfiltrirajte podatke pohranjene u aplikaciji Signal
- PteroGram – Eksfiltrirajte podatke pohranjene u aplikaciji Telegram
- PteroBleed – Eksfiltrirajte podatke koje pohranjuju web verzije Telegrama i WhatsAppa iz Google Chromea, Microsoft Edgea i Opera
- PteroScout – Eksfiltrirajte sistemske informacije
Najnoviji skup napada na koje ističe Recorded Future uključuje slanje phishing e-mailova koji sadrže HTML priloge, koji koriste tehniku koja se zove HTML krijumčarenje za aktiviranje procesa infekcije putem ugrađenog JavaScript koda.
HTML prilozi, kada se otvore, ispuštaju 7-Zip arhivu (“56-27-11875.rar”) koja uključuje malicioznu LNK datoteku, koja koristi mshta.exe za isporuku GammaDrop, HTA dropper odgovornog za pisanje na disk prilagođeni učitavač pod nazivom GammaLoad, koji naknadno uspostavlja kontakt sa C2 serverom kako bi dohvatio dodatni zlonamjerni softver.
Artefakt GammaDrop se preuzima sa servera za postavljanje koji se nalazi iza tunela Cloudflare koji se nalazi na domeni amsterdam-sheet-veteran-aka.trycloudflare[.]com.
Sa svoje strane, GammaLoad koristi DNS-over-HTTPS ( DoH ) provajdere kao što su Google i Cloudflare za rješavanje C2 infrastrukture kada tradicionalni DNS zakaže. Takođe koristi DNS tehniku brzog protoka za dohvaćanje C2 adrese ako prvi pokušaj komunikacije sa serverom ne uspije.
“BlueAlpha će vjerovatno nastaviti usavršavati tehnike izbjegavanja korištenjem široko korištenih, legitimnih usluga kao što je Cloudflare, što komplikuje detekciju za tradicionalne sigurnosne sisteme”, navodi Recorded Future.
„Nastavak poboljšanja krijumčarenja HTML-a i postojanosti zasnovane na DNS-u vjerovatno će predstavljati nove izazove, posebno za organizacije s ograničenim mogućnostima otkrivanja prijetnji.“
izvor:The Hacker News
