俄黑客利用Cloudflare Tunnels隐藏恶意软件

摘要：Recorded Future 的 Insikt Group 在一份新分析中表示，此次活动是自 2024 年初以来针对乌克兰实体的持续鱼叉式网络钓鱼活动的一部分，旨在投放 Visual Basic Script 恶意软件。

据观察，名为Gamaredon 的威胁组织利用Cloudflare Tunnels作为一种策略来隐藏其托管名为 GammaDrop 的恶意软件的临时基础设施。

Recorded Future 的 Insikt Group 在一份新分析中表示，此次活动是自 2024 年初以来针对乌克兰实体的持续鱼叉式网络钓鱼活动的一部分，旨在投放 Visual Basic Script 恶意软件。

该网络安全公司正在追踪名为 BlueAlpha 的威胁组织，该组织也被称为 Aqua Blizzard、Armageddon、Hive0051、Iron Tilden、Primitive Bear、Shuckworm、Trident Ursa、UAC-0010、UNC530 和 Winterflounder。据信该组织自 2014 年以来一直活跃，隶属于俄罗斯联邦安全局 (FSB)。

Insikt Group指出： “BlueAlpha 最近开始使用 Cloudflare Tunnels 来隐藏GammaDrop使用的暂存基础设施，这是网络犯罪组织用来部署恶意软件的一种越来越流行的技术。”

“BlueAlpha 继续使用域名系统 (DNS)快速通量GammaLoad 命令和控制 (C2) 基础设施来复杂化对 C2 通信的跟踪和中断，以保留对受感染系统的访问。”

斯洛伐克网络安全公司 ESET曾在 2024 年 9 月记录了攻击者使用 Cloudflare Tunnel 的行为，当时该攻击针对的是乌克兰和保加利亚、拉脱维亚、立陶宛和波兰等北约国家。

它还将威胁组织的技术描述为鲁莽的，并且并不特别注重隐身，尽管他们尽力“避免被安全产品阻止，并竭尽全力保持对受感染系统的访问”。

“Gamaredon 试图通过同时部署多个简单的下载程序或后门来保持其访问权限。”ESET 补充道。“Gamaredon 工具的缺乏复杂性可以通过频繁更新和使用定期更改的混淆来弥补。”

Gamaredon 武器库中添加新工具的时间表

这些工具主要用于从浏览器、电子邮件客户端和 Signal 和 Telegram 等即时通讯应用程序内运行的网络应用程序中窃取有价值的数据，以及下载额外的有效负载并通过连接的 USB 驱动器传播恶意软件。

PteroPSLoad、PteroX、PteroSand、PteroDash、PteroRisk 和 PteroPowder——下载有效载荷

PteroCDrop——删除 Visual Basic 脚本有效载荷

PteroClone——使用 rclone 实用程序传递有效载荷

PteroLNK——利用连接的 USB 驱动器

PteroDig——利用桌面文件夹中的 LNK 文件实现持久性

PteroSocks——提供部分 SOCKS 代理功能

PteroPShell、ReVBShell——用作远程 shell

PteroPSDoor、PteroVDoor——从文件系统中提取特定文件

PteroScreen——捕获并提取屏幕截图

PteroSteal——窃取网络浏览器存储的凭证

PteroCookie——窃取网络浏览器存储的 cookie

PteroSig——窃取 Signal 应用程序存储的数据

PteroGram——窃取 Telegram 应用程序存储的数据

PteroBleed——从 Google Chrome、Microsoft Edge 和 Opera 中窃取 Telegram 和 WhatsApp 网络版本存储的数据

PteroScout——窃取系统信息

Recorded Future 重点介绍的最新一组攻击包括发送带有 HTML 附件的网络钓鱼电子邮件，这些攻击利用一种称为 HTML 走私的技术通过嵌入的 JavaScript 代码激活感染过程。

HTML 附件打开后会释放一个包含恶意 LNK 文件的 7-Zip 存档（“56-27-11875.rar”），该文件利用 mshta.exe 来传送 GammaDrop，这是一个 HTA 释放程序，负责将名为 GammaLoad 的自定义加载器写入磁盘，随后与 C2 服务器建立联系以获取其他恶意软件。

GammaDrop 工件是从位于托管于域 amsterdam-sheet-veteran-aka.trycloudflare[.]com 上的 Cloudflare Tunnel 后面的暂存服务器检索到的。

就 GammaLoad 而言，当传统 DNS 出现故障时，它会利用 Google 和 Cloudflare 等 DNS-over-HTTPS ( DoH ) 提供商来解析 C2 基础设施。如果首次尝试与服务器通信失败，它还会采用快速通量 DNS 技术来获取 C2 地址。

Recorded Future 表示：“BlueAlpha 可能会利用 Cloudflare 等广泛使用的合法服务来继续改进逃避技术，从而使传统安全系统的检测变得更加复杂。”

“HTML 走私和基于 DNS 的持久性的持续增强可能会带来不断变化的挑战，尤其是对于威胁检测能力有限的组织而言。”

技术报告：

新闻链接：

来源：会杀毒的单反狗

标签：恶意软件 cloudflaretunnels cloudfl

本文地址：http://news.43b.com.cn/a/163781.html

免责声明：本站系转载，并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请在30日内与本站联系，我们将在第一时间删除内容!