Bir tehdit aktörü, Hindistan alt kıtasında ve çevresinde hükümet ve kolluk kuvvetlerine yönelik hedeflere karşı casusluk yapmak için Cloudflare Worker bulut servislerini ve diğer araçları kullanıyor.
“SloppyLemming”, Crowdstrike’ın (Outrider Tiger olarak takip ederek) daha önce Hindistan’a bağladığı gelişmiş bir kalıcı tehdittir (APT). Bu atıf, grubun Hindistan’ın sınırlarına yakın ülkelerdeki çok çeşitli hassas kuruluşlardan değerli istihbarat çalmak için yaptığı son çabayla tutarlıdır.
Kurbanları arasında: hükümet kurumları – yasama organları, dışişleri, savunma – BT ve telekomünikasyon sağlayıcıları, inşaat şirketleri ve Pakistan’ın tek nükleer enerji tesisi yer alıyor. Pakistan polis departmanları ve diğer kolluk kuvvetleri özellikle ateş altında kaldı, ancak SloppyLemming’in saldırıları Bangladeş ve Sri Lanka ordularına ve hükümetlerine, ayrıca Çin’in enerji ve akademik sektörlerindeki kuruluşlara da yayıldı ve Avustralya’nın başkenti Canberra’da veya çevresinde potansiyel hedefleme ipuçları oldu.
Cloudflare’in yeni bir blog yazısında açıklanan kampanya, Discord, Dropbox, GitHub ve en önemlisi Cloudflare’in kendi “Workers” platformunu, kimlik avı saldırı zincirlerinde bir araya getirerek şu şekilde sonuçlanıyor: kimlik bilgisi toplama ve e-posta ihlali.
Cloudflare Workers’ı Kullanan Bilgisayar Korsanları
SloppyLemming saldırıları genellikle bir mızraklı kimlik avı e-postasıyla başlar — örneğin, bir polis karakolunun BT departmanından gelen sahte bir bakım uyarısı. İkinci adımda Cloudflare’in Workers hizmetini kötüye kullandığında kendini daha da farklılaştırır.
Cloudflare Workers, Cloudflare’in küresel sunucularından akan Web trafiğinde çalışan betikleri çalıştırmak için sunucusuz bir bilgi işlem platformudur. Bunlar esasen, bir kullanıcının web sitesine yapılan istekleri, kullanıcının kaynak sunucusuna ulaşmadan önce durduran ve bunlara bir tür işlev uygulayan JavaScript parçalarıdır; örneğin, bağlantıları yeniden yönlendirme veya güvenlik başlıkları ekleme.
Diğer esnek, çok işlevli meşru hizmetler gibi, Cloudflare Workers da kötü niyetli amaçlar için kötüye kullanılabilir. 2020’de Koreli hackerlar, Workers’ı kullanarak SEO spamVe “BlackWater” adlı bir arka kapı komuta ve kontrol (C2) sunucusuyla arayüz oluşturmak için kullandı; ertesi yıl saldırganlar bunu bir kripto para dolandırıcılığı.
SloppyLemming, kimlik bilgisi kaydı mantığını ve dışarı sızdırmayı yönetmek için “CloudPhish” adlı özel olarak oluşturulmuş bir araç kullanır. CloudPhish kullanıcıları önce hedeflerini ve dışarı sızdırma için amaçlanan kanalları tanımlar. Daha sonra program hedefin web postası oturum açma sayfasıyla ilişkili HTML içeriğini sıyırır ve bununla kötü amaçlı bir taklit oluşturur. Hedef oturum açma bilgilerini girdiğinde, bu bilgiler bir Discord web kancası aracılığıyla çalınır.
Bulut Hizmetlerinin Kötüye Kullanımı
SloppyLemming’in başka numaraları da var. Sınırlı durumlarda, kötü niyetli bir Çalışan kullanarak veri topladı Google OAuth belirteçleri.
Başka bir Worker, WinRAR 6.23 öncesi sürümlerde 10 üzerinden 7.8 CVSS derecesine sahip “yüksek” öneme sahip bir sorun olan CVE-2023-38831’i istismar etmek üzere tasarlanmış bir RAR dosyasının bulunduğu bir Dropbox URL’sine yönlendirmek için kullanıldı. Aynı güvenlik açığı yakın zamanda şu kişiler tarafından da kullanıldı: Ukrayna vatandaşlarına karşı bir Rus tehdit grubuDropbox’ın yoğun olarak kullanıldığı bu istismar zincirinin sonunda, birkaç Çalışanı daha meşgul eden bir uzaktan erişim aracı (RAT) vardı.
“En az üç, dört veya beş farklı bulut aracı kullanıyorlar,” diyor Cloudflare’deki Cloudforce One’ın başkanı Blake Darché. “Tehdit aktörleri genellikle farklı şirketlerden farklı hizmetler kullanarak şirketlerden yararlanmaya çalışıyor, bu yüzden [victims] “Ne yaptıklarını koordine edemiyorlar.”
Çok sayıda platforma yayılmış saldırı zincirlerini anlamak için, “Ağınızı iyi kontrol etmeli ve sıfır güven mimarileri uygulamalısınız, böylece ağınıza giren ve çıkan her şeyi, tüm farklı çevre birimlerini anlayabilirsiniz: DNS trafiği, e-posta trafiği, Web trafiği, hepsini bir bütün olarak anlayabilirsiniz. Bence birçok kuruluş bu alanda gerçekten zorlanıyor.” diyor.