Una nuova campagna sfrutta i sottodomini di Cloudflare Tunnel per diffondere payload malevoli
Una campagna in corso, denominata serpentine#cloud da Securonix, sta utilizzando i sottodomini di Cloudflare Tunnel per ospitare payload malevoli e distribuirli tramite allegati dannosi incorporati in email di phishing. Secondo il ricercatore di sicurezza Tim Peck, la campagna sfrutta l’infrastruttura di Cloudflare Tunnel e loader basati su Python per consegnare payload iniettati in memoria attraverso una catena di file di collegamento e script offuscati.
Il processo di attacco
L’attacco inizia con l’invio di email di phishing a tema pagamento o fattura, contenenti un link a un documento zippato che include un file di collegamento Windows (LNK). Questi collegamenti sono mascherati da documenti per ingannare le vittime e indurle ad aprirli, attivando così la sequenza di infezione. Il processo culmina nell’esecuzione di un loader di shellcode basato su Python che esegue payload confezionati con il loader open-source Donut interamente in memoria.
Obiettivi e metodi di accesso
La campagna ha preso di mira Stati Uniti, Regno Unito, Germania e altre regioni in Europa e Asia. L’identità degli attori della minaccia è attualmente sconosciuta, anche se la società di cybersecurity ha sottolineato la loro padronanza dell’inglese. Il cluster di attività di minaccia è noto anche per i suoi metodi di accesso iniziale mutevoli, passando da file di collegamento internet (URL) a file di collegamento LNK mascherati da documenti PDF. Questi payload vengono poi utilizzati per recuperare ulteriori fasi tramite WebDAV attraverso i sottodomini di Cloudflare Tunnel.
Vantaggi dell’abuso di TryCloudflare
L’abuso di TryCloudflare offre numerosi vantaggi. Gli attori malevoli hanno da tempo reso più difficile il rilevamento utilizzando fornitori di servizi cloud legittimi come copertura per le loro operazioni, inclusa la consegna di payload e la comunicazione di comando e controllo (C2). Utilizzando un sottodominio rispettabile (“*.trycloudflare[.]com”) per fini nefasti, diventa estremamente difficile per i difensori distinguere tra attività dannose e benigne, permettendo così di eludere i meccanismi di blocco basati su URL o dominio.
Dettagli tecnici dell’infezione
L’infezione iniziale avviene quando i file LNK vengono lanciati, causando il download di un payload di fase successiva, un file di script Windows (WSF), da una condivisione WebDAV remota ospitata su un sottodominio di Cloudflare Tunnel. Il file WSF viene successivamente eseguito utilizzando cscript.exe in modo da non destare sospetti nella vittima. Questo file WSF funziona come un loader leggero basato su VBScript, progettato per eseguire un file batch esterno da un secondo dominio Cloudflare. Il file ‘kiki.bat’ serve come script principale di consegna del payload nella serie di stager, progettato per la furtività e la persistenza.
Fonte: The Hackers News
