Κατάχρηση των Cloudflare Tunnel σε νέα εκστρατεία malware
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Κατάχρηση των Cloudflare Tunnel σε νέα εκστρατεία malware
https://www.secnews.gr/651644/katarisi-cloudflare-tunnel-nea-ekstrateia-malware/
Jun 20th 2025, 17:30
by Absenta Mia
Η Securonix αποκάλυψε μια εκστρατεία διανομής malware που καταχράται το Cloudflare Tunnel για τη φιλοξενία επιβλαβών αρχείων σε υποτομείς που ελέγχονται από τους επιτιθέμενους.
Δείτε επίσης: Η Cloudflare μπλόκαρε DDoS επίθεση 7.3 Tbps
Η εκστρατεία, με την ονομασία Serpentine#Cloud, βασίζεται σε μια πολύπλοκη αλυσίδα μόλυνσης που περιλαμβάνει αρχεία συντομεύσεων (LNK) και συγκεκαλυμμένα scripts, με στόχο την εγκατάσταση ενός φορτωτή βασισμένου σε Python, ικανού να εκτελεί ένα PE payload συσκευασμένο με Donut απευθείας στη μνήμη.
Στις πρώιμες επιθέσεις που σχετίζονται με αυτή την καμπάνια, χρησιμοποιούνταν URL αρχεία για την εκτέλεση των επιβλαβών φορτίων. Ωστόσο, στη συνέχεια παρατηρήθηκε μετάβαση σε χρήση BAT αρχείων, συχνά εντός ZIP αρχείων, για τη λήψη και εκτέλεση των payloads μέσω Cloudflare tunnel.
Σε πιο πρόσφατες επιθέσεις, χρησιμοποιούνται LNK αρχεία μεταμφιεσμένα σε PDF έγγραφα για τη διανομή των κακόβουλων φορτίων. Τα αρχεία αυτά αποστέλλονται στα θύματα μέσω phishing emails με θεματολογία σχετική με πληρωμές ή τιμολόγια, τα οποία περιέχουν συνδέσμους προς ZIP αρχεία που εμπεριέχουν το LNK αρχείο.
Τα Cloudflare tunnel προσφέρουν απομακρυσμένη πρόσβαση σε πόρους όπως τα VPN, όμως οι κυβερνοεγκληματίες τα καταχρώνται όλο και συχνότερα για τη διανομή malware. Αυτό τους επιτρέπει να παραμένουν ανώνυμοι και να παρακάμπτουν τα μέτρα προστασίας και ανίχνευσης, καθώς η κυκλοφορία φαίνεται να προέρχεται από νόμιμη υπηρεσία.
Δείτε ακόμα: 2024: Η Cloudflare μπλόκαρε αριθμό-ρεκόρ επιθέσεων DDoS
Στο πλαίσιο της καμπάνιας Serpentine#Cloud, παρατηρήθηκε ότι το αρχείο LNK που αποστέλλεται στα υποψήφια θύματα ενεργοποιεί μια σύνθετη αλυσίδα μόλυνσης, η οποία χρησιμοποιεί το robocopy για να ανακτήσει ένα αρχείο τύπου Windows Script File (WSF) από έναν απομακρυσμένο WebDAV shared φάκελο, φιλοξενούμενο μέσω της υποδομής Cloudflare Tunnel. Στη συνέχεια, η εκτέλεση του σεναρίου συνεχίζεται μέσω του Windows Script Host (WSH).
Κατάχρηση των Cloudflare Tunnel σε νέα εκστρατεία malware
Η διαδικασία μόλυνσης συνεχίζεται με την εκτέλεση ενός συγκεκαλυμμένου batch αρχείου, το οποίο ανακτά κακόβουλο λογισμικό βασισμένο σε Python, εδραιώνει επιμονή στο σύστημα, αποκρύπτει τους φακέλους του κακόβουλου λογισμικού και στη συνέχεια το εκτελεί.
Το κακόβουλο λογισμικό λειτουργεί ως φορτωτής shellcode, χρησιμοποιώντας την τεχνική Early Bird APC injection για την αθόρυβη εκτέλεση shellcode μέσα σε μια νέα διεργασία, όπως εξηγεί η Securonix. Ο εκτελεσμένος shellcode αποκρυπτογραφείται τελικά σε ένα αρχείο Windows PE, το οποίο συνήθως είναι είτε ένα κοινό, είτε ένα ανοιχτού κώδικα Remote Access Trojan (RAT), όπως το AsyncRAT ή το RevengeRAT.
Ένα σχετικό και σημαντικό σημείο που προκύπτει από την καμπάνια Serpentine#Cloud είναι η κατάχρηση νόμιμων υπηρεσιών και εργαλείων για κακόβουλους σκοπούς, κάτι που παρατηρείται όλο και συχνότερα τα τελευταία χρόνια. Αυτό που καθιστά επικίνδυνες αυτές τις επιθέσεις δεν είναι μόνο το ίδιο το κακόβουλο λογισμικό (όπως το AsyncRAT ή το RevengeRAT), αλλά ο συνδυασμός αθόρυβης διείσδυσης, επίμονης παρουσίας και ευκολίας παράκαμψης των μέτρων ασφάλειας.
Δείτε επίσης: Η Cloudflare ανακοινώνει το OpenPubkey SSH
Η αντιμετώπιση τέτοιων απειλών απαιτεί πλέον συμπεριφορική ανάλυση, Zero Trust αρχιτεκτονική και συνεχές monitoring για ύποπτες δραστηριότητες, ακόμα και όταν αυτές προέρχονται από "αθώες" εφαρμογές ή γνωστές υπηρεσίες.
Πηγή: securityweek
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Κατάχρηση των Cloudflare Tunnel σε νέα εκστρατεία malware
https://www.secnews.gr/651644/katarisi-cloudflare-tunnel-nea-ekstrateia-malware/
Jun 20th 2025, 17:30
by Absenta Mia
Η Securonix αποκάλυψε μια εκστρατεία διανομής malware που καταχράται το Cloudflare Tunnel για τη φιλοξενία επιβλαβών αρχείων σε υποτομείς που ελέγχονται από τους επιτιθέμενους.
Δείτε επίσης: Η Cloudflare μπλόκαρε DDoS επίθεση 7.3 Tbps
Η εκστρατεία, με την ονομασία Serpentine#Cloud, βασίζεται σε μια πολύπλοκη αλυσίδα μόλυνσης που περιλαμβάνει αρχεία συντομεύσεων (LNK) και συγκεκαλυμμένα scripts, με στόχο την εγκατάσταση ενός φορτωτή βασισμένου σε Python, ικανού να εκτελεί ένα PE payload συσκευασμένο με Donut απευθείας στη μνήμη.
Στις πρώιμες επιθέσεις που σχετίζονται με αυτή την καμπάνια, χρησιμοποιούνταν URL αρχεία για την εκτέλεση των επιβλαβών φορτίων. Ωστόσο, στη συνέχεια παρατηρήθηκε μετάβαση σε χρήση BAT αρχείων, συχνά εντός ZIP αρχείων, για τη λήψη και εκτέλεση των payloads μέσω Cloudflare tunnel.
Σε πιο πρόσφατες επιθέσεις, χρησιμοποιούνται LNK αρχεία μεταμφιεσμένα σε PDF έγγραφα για τη διανομή των κακόβουλων φορτίων. Τα αρχεία αυτά αποστέλλονται στα θύματα μέσω phishing emails με θεματολογία σχετική με πληρωμές ή τιμολόγια, τα οποία περιέχουν συνδέσμους προς ZIP αρχεία που εμπεριέχουν το LNK αρχείο.
Τα Cloudflare tunnel προσφέρουν απομακρυσμένη πρόσβαση σε πόρους όπως τα VPN, όμως οι κυβερνοεγκληματίες τα καταχρώνται όλο και συχνότερα για τη διανομή malware. Αυτό τους επιτρέπει να παραμένουν ανώνυμοι και να παρακάμπτουν τα μέτρα προστασίας και ανίχνευσης, καθώς η κυκλοφορία φαίνεται να προέρχεται από νόμιμη υπηρεσία.
Δείτε ακόμα: 2024: Η Cloudflare μπλόκαρε αριθμό-ρεκόρ επιθέσεων DDoS
Στο πλαίσιο της καμπάνιας Serpentine#Cloud, παρατηρήθηκε ότι το αρχείο LNK που αποστέλλεται στα υποψήφια θύματα ενεργοποιεί μια σύνθετη αλυσίδα μόλυνσης, η οποία χρησιμοποιεί το robocopy για να ανακτήσει ένα αρχείο τύπου Windows Script File (WSF) από έναν απομακρυσμένο WebDAV shared φάκελο, φιλοξενούμενο μέσω της υποδομής Cloudflare Tunnel. Στη συνέχεια, η εκτέλεση του σεναρίου συνεχίζεται μέσω του Windows Script Host (WSH).
Κατάχρηση των Cloudflare Tunnel σε νέα εκστρατεία malware
Η διαδικασία μόλυνσης συνεχίζεται με την εκτέλεση ενός συγκεκαλυμμένου batch αρχείου, το οποίο ανακτά κακόβουλο λογισμικό βασισμένο σε Python, εδραιώνει επιμονή στο σύστημα, αποκρύπτει τους φακέλους του κακόβουλου λογισμικού και στη συνέχεια το εκτελεί.
Το κακόβουλο λογισμικό λειτουργεί ως φορτωτής shellcode, χρησιμοποιώντας την τεχνική Early Bird APC injection για την αθόρυβη εκτέλεση shellcode μέσα σε μια νέα διεργασία, όπως εξηγεί η Securonix. Ο εκτελεσμένος shellcode αποκρυπτογραφείται τελικά σε ένα αρχείο Windows PE, το οποίο συνήθως είναι είτε ένα κοινό, είτε ένα ανοιχτού κώδικα Remote Access Trojan (RAT), όπως το AsyncRAT ή το RevengeRAT.
Ένα σχετικό και σημαντικό σημείο που προκύπτει από την καμπάνια Serpentine#Cloud είναι η κατάχρηση νόμιμων υπηρεσιών και εργαλείων για κακόβουλους σκοπούς, κάτι που παρατηρείται όλο και συχνότερα τα τελευταία χρόνια. Αυτό που καθιστά επικίνδυνες αυτές τις επιθέσεις δεν είναι μόνο το ίδιο το κακόβουλο λογισμικό (όπως το AsyncRAT ή το RevengeRAT), αλλά ο συνδυασμός αθόρυβης διείσδυσης, επίμονης παρουσίας και ευκολίας παράκαμψης των μέτρων ασφάλειας.
Δείτε επίσης: Η Cloudflare ανακοινώνει το OpenPubkey SSH
Η αντιμετώπιση τέτοιων απειλών απαιτεί πλέον συμπεριφορική ανάλυση, Zero Trust αρχιτεκτονική και συνεχές monitoring για ύποπτες δραστηριότητες, ακόμα και όταν αυτές προέρχονται από "αθώες" εφαρμογές ή γνωστές υπηρεσίες.
Πηγή: securityweek
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz