Rusya’nın ‘BlueAlpha’ APT’si Cloudflare Tünellerinde Saklanıyor

   Aralık 5, 2024  Posted in DarkReading


HABER ÖZETİ

Rusya’nın devlet destekli bir gelişmiş kalıcı tehdit (APT) grubu olan BlueAlpha, kısa süre önce kötü amaçlı yazılım dağıtım zincirini Cloudflare Tünellerini kötüye kullanacak şekilde geliştirdi – sonuçta kurbanlara özel GammaDrop kötü amaçlı yazılımını bulaştırmak amacıyla.

Cloudflare Tunnels, adından da anlaşılacağı gibi güvenli bir tünel açma yazılımıdır. Web sunucularını ve uygulamalarını, kökenlerini gizleyerek dağıtılmış hizmet reddi (DDoS) ve diğer doğrudan siber saldırılara karşı korumak amacıyla, kaynakları halka açık bir IP adresi kullanmadan Cloudflare ağına bağlamak için kullanılabilir.

Ne yazık ki, bu gizleme mekanizması, diğer meşru bulut araçlarıRecorded Future’ın Insikt Grubuna göre, GammaDrop hazırlama altyapısını geleneksel ağ tespit mekanizmalarından gizlemek için Cloudflare Tünellerini kullanan BlueAlpha gibi kişiler tarafından da kullanılabilir.

“Cloudflare, TryCloudflare aracının kullanımıyla tünel hizmetini ücretsiz sunuyor.” bir analize göre bu hafta Insikt’ten yayınlandı. “Araç, herkesin trycloudflare.com’un rastgele oluşturulmuş bir alt alanını kullanarak bir tünel oluşturmasına ve bu alt alana yönelik tüm isteklerin Cloudflare ağı üzerinden o ana makinede çalışan Web sunucusuna proxy olarak gönderilmesine olanak tanıyor.”

Insikt Grubu araştırmacıları, APT’nin daha sonra e-posta güvenlik sistemlerini atlayan HTML kaçakçılığı saldırıları düzenlemek için gizli altyapıyı kullandığını ve bunun yanı sıra BlueAlpha’nın komuta ve kontrol (C2) iletişimini bozmayı daha zor hale getiren DNS hızlı akışını kullandığını belirtti. sonunda veri hırsızlığına, kimlik bilgileri hırsızlığına ve ağlara arka kapı erişimine olanak tanıyan GammaDrop kötü amaçlı yazılımını dağıtın.

BlueAlpha, DNA’sını diğer Rus tehdit gruplarıyla paylaşıyor Üç dişli UrsaGamaredon, Shuckworm ve Hive0051, ilk olarak 2014’te ortaya çıktı ve son zamanlarda hedef odaklı kimlik avı kampanyalarıyla Ukraynalı kuruluşları hedef aldı. APT, en az Ekim 2023’ten beri özel VBScript kötü amaçlı yazılımı GammaLoad’u kullanıyor.

Bu tür saldırılara karşı korunmak için Insikt Group, aşağıdakiler de dahil olmak üzere çeşitli hafifletme önlemleri önerdi:

  • HTML kaçakçılığı tekniklerini engellemek için e-posta güvenliğini artırın

  • Şüpheli HTML etkinlikleri içeren ekleri işaretleyin

  • Mshta.exe ve güvenilmeyen .lnk dosyalarının kötü amaçlı kullanımını engellemek için uygulama kontrol ilkelerini kullanın

  • Trycloudflare.com alt alan adlarına yönelik istekleri işaretlemek için ağ kurallarını ayarlayın





Source link