Araştırmacılar, tehdit aktörlerinin, genellikle uzaktan erişim trojanları (RAT’ler) gönderen kötü amaçlı yazılım kampanyalarında Cloudflare Tunnel hizmetini giderek daha fazla kötüye kullandıkları konusunda uyarıyor.
Bu siber suç faaliyeti ilk olarak Şubat ayında tespit edildi ve AsyncRAT, GuLoader, VenomRAT, Remcos RAT ve Xworm dahil olmak üzere birden fazla RAT’ı dağıtmak için TryCloudflare ücretsiz hizmetinden yararlanıyor.
Kaynak: Proofpoint
Cloudflare Tunnel hizmeti, IP adreslerini ifşa etmeden internet üzerinden yerel hizmetlere ve sunuculara erişmek için şifrelenmiş bir tünel üzerinden trafiğin proxy’lenmesine olanak tanır. Bu, herhangi bir genel giriş portu açmaya veya VPN bağlantıları kurmaya gerek olmadığından ek güvenlik ve rahatlıkla birlikte gelmelidir.
TryCloudflare ile kullanıcılar yerel sunuculara geçici tüneller oluşturabilir ve bir Cloudflare hesabına ihtiyaç duymadan hizmeti test edebilirler.
Her tünel trycloudflare.com etki alanında geçici bir rastgele alt etki alanı oluşturur ve bu, trafiği Cloudflare’in ağı üzerinden yerel sunucuya yönlendirmek için kullanılır.
Tehdit aktörleri, tespit edilmekten kaçınarak tehlikeye atılmış sistemlere uzaktan erişim sağlamak için geçmişte bu özelliği kötüye kullandılar.
Son kampanya
Siber güvenlik şirketi Proofpoint, bugün yayınladığı raporda, meşru TryCloudflare etki alanında barındırılan kötü amaçlı .LNK dosyalarıyla hukuk, finans, üretim ve teknoloji kuruluşlarını hedef alan kötü amaçlı yazılım faaliyetleri gözlemlediğini bildirdi.
Tehdit aktörleri, LNK yüküne giden URL’ler veya ekler içeren vergi temalı e-postalarla hedefleri cezbediyor. Yük başlatıldığında, PowerShell’i dağıtan BAT veya CMD betiklerini çalıştırır.
Kaynak: Proofpoint
Saldırının son aşamasında son yük için Python yükleyicileri indirilir.
Proofpoint, 11 Temmuz’da başlayan e-posta dağıtım dalgasının 1.500’den fazla kötü amaçlı mesaj dağıttığını, 28 Mayıs’taki daha önceki dalgada ise 50’den az mesaj bulunduğunu bildirdi.
Kaynak: Proofpoint
LNK dosyalarını Cloudflare’de barındırmanın, hizmetin itibarı nedeniyle trafiğin meşru görünmesini sağlamak da dahil olmak üzere çeşitli avantajları vardır.
Ayrıca TryCloudflare Tünel özelliği anonimlik sağlıyor ve LNK sunan alt alan adları geçici olduğundan, bunları engellemek savunmacılara çok fazla yardımcı olmuyor.
Sonuç olarak, hizmet ücretsiz ve güvenilirdir, bu nedenle siber suçluların kendi altyapılarını kurmanın maliyetini karşılamaları gerekmez. Cloudflare’den gelen bloklardan kaçınmak için otomasyon kullanılırsa, siber suçlular bu tünelleri büyük ölçekli operasyonlar için bile kötüye kullanabilirler.
BleepingComputer, Proofpoint tarafından bildirilen aktivite hakkında yorum almak için Cloudflare’e ulaştı ve şirket temsilcisi şu ifadelerle yanıt verdi:
Cloudflare, ekibimiz tarafından keşfedilen veya üçüncü taraflarca bildirilen kötü amaçlı tünelleri derhal devre dışı bırakır ve kapatır.
Cloudflare, son birkaç yıldır meydana gelebilecek kötü amaçlı faaliyetleri daha iyi kontrol altına almak amacıyla tünel ürünümüzde makine öğrenimi tespitlerini kullanıma sundu.
Proofpoint ve diğer güvenlik sağlayıcılarını şüpheli URL’leri bize göndermeye teşvik ediyoruz ve hizmetlerimizi kötü amaçlı yazılımlar için kullanan müşterilerimize karşı işlem yapacağız.