# 클라우드플레어 터널 악용해 원격 액세스 트로이 목마 배포하는 위협 행위자

> Clean Markdown view of GeekNews topic #16144. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=16144](https://news.hada.io/topic?id=16144)
- GeekNews Markdown: [https://news.hada.io/topic/16144.md](https://news.hada.io/topic/16144.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2024-08-03T08:33:28+09:00
- Updated: 2024-08-03T08:33:28+09:00
- Original source: [proofpoint.com](https://www.proofpoint.com/us/blog/threat-insight/threat-actor-abuses-cloudflare-tunnels-deliver-rats)
- Points: 2
- Comments: 1

## Topic Body

##### 주요 발견
* Proofpoint는 TryCloudflare Tunnel을 악용한 악성코드 배포가 증가하고 있음을 관찰함
* 이 활동은 재정적 동기를 가지고 있으며 원격 접근 트로이 목마(RATs)를 배포함
* 초기 관찰 이후, 공격자들은 탐지를 피하고 효율성을 높이기 위해 전술, 기술 및 절차를 수정함
* Proofpoint는 이 활동을 특정 위협 행위자에게 귀속하지 않지만, 연구는 계속 진행 중임

##### 개요
Proofpoint는 Cloudflare Tunnels를 악용하여 악성코드를 배포하는 사이버 범죄 활동을 추적 중임. 특히, 공격자는 계정을 생성하지 않고 일회성 터널을 만들 수 있는 TryCloudflare 기능을 악용함. 터널은 VPN이나 SSH 프로토콜처럼 로컬 네트워크에 없는 데이터와 자원에 원격으로 접근할 수 있게 함. 2024년 2월 처음 관찰된 이 클러스터는 5월부터 7월까지 활동이 증가했으며, 최근 몇 달 동안 대부분의 캠페인은 Xworm이라는 RAT로 이어짐. 대부분의 캠페인에서는 URL이나 첨부 파일이 포함된 메시지가 인터넷 바로가기(.URL) 파일로 연결됨. 실행되면 WebDAV를 통해 외부 파일 공유에 연결하여 LNK 또는 VBS 파일을 다운로드함. 실행되면 LNK/VBS는 BAT 또는 CMD 파일을 실행하여 Python 설치 패키지와 일련의 Python 스크립트를 다운로드하여 악성코드를 설치함. 일부 경우에는 search-ms 프로토콜 핸들러를 사용하여 WebDAV 공유에서 LNK를 검색함. 일반적으로 캠페인에서는 사용자가 합법적으로 보이도록 무해한 PDF를 표시함.

##### 캠페인 예시
**AsyncRAT / Xworm 캠페인 2024년 5월 28일**
Proofpoint는 2024년 5월 28일에 AsyncRAT와 Xworm을 배포하는 캠페인을 관찰함. 이 캠페인에서는 세금 테마의 메시지가 URL 파일이 포함된 압축 파일로 연결됨. 이 캠페인은 법률 및 금융 분야의 조직을 대상으로 하며 총 메시지 수는 50개 미만임. URL 파일은 원격 LNK 파일을 가리킴. 실행되면 CMD 헬퍼 스크립트가 PowerShell을 호출하여 압축된 Python 패키지와 Python 스크립트를 다운로드함. Python 패키지와 스크립트는 AsyncRAT와 Xworm의 설치로 이어짐.

**AsyncRAT / Xworm 캠페인 2024년 7월 11일**
연구원들은 2024년 7월 11일에 Cloudflare 터널을 활용하여 AsyncRAT와 Xworm을 배포하는 또 다른 캠페인을 관찰함. 이 캠페인은 금융, 제조, 기술 등 다양한 분야의 조직을 대상으로 1,500개 이상의 메시지를 포함함. 이 캠페인에서는 HTML 첨부 파일이 search-ms 쿼리를 포함하여 LNK 파일을 가리킴. 실행되면 난독화된 BAT 파일이 PowerShell을 호출하여 Python 설치 패키지와 스크립트를 다운로드하여 AsyncRAT와 Xworm을 실행함.

##### 귀속
캠페인에서 관찰된 전술, 기술 및 절차(TTP)에 기반하여 Proofpoint는 이를 관련 활동의 한 클러스터로 평가함. 연구원들은 이 활동을 특정 위협 행위자에게 귀속하지 않았지만, 연구는 계속 진행 중임.

##### 중요성
Cloudflare 터널의 사용은 공격자들에게 임시 인프라를 사용하여 운영을 확장할 수 있는 유연성을 제공함. 이는 방어자와 전통적인 보안 조치가 정적 차단 목록에 의존하는 것을 어렵게 만듦. 임시 Cloudflare 인스턴스는 공격자들에게 탐지 및 제거 노출을 최소화하면서 공격을 준비할 수 있는 저비용 방법을 제공함. 공격자들이 악성코드 배포에 Python 스크립트를 사용하는 것은 주목할 만함. Python 라이브러리와 실행 파일 설치 프로그램을 Python 스크립트와 함께 패키징하면, 이전에 Python이 설치되지 않은 호스트에서도 악성코드를 다운로드하고 실행할 수 있음. 조직은 개인의 직무 기능에 필요하지 않은 경우 Python 사용을 제한해야 함. 최근 몇 달 동안 Proofpoint는 Java 기반 악성코드를 배포하는 캠페인을 관찰했으며, ZIP 내부에 JAR 및 Java Runtime Environment(JRE)를 포함하여 올바른 소프트웨어가 설치된 후 다운로더 또는 드로퍼를 실행하도록 함. 공격 체인은 최종 페이로드를 실행하기 위해 피해자의 상당한 상호작용을 요구함. 이는 수신자가 의심스러운 활동을 식별하고 공격 체인을 방해할 수 있는 여러 기회를 제공함.

##### Emerging Threats 서명
Emerging Threats 규칙 세트에는 이 캠페인에서 식별된 악성코드를 탐지하는 규칙이 포함됨.
예시:
- 2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
- 2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes
- 2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes(Client)
- 2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
- 2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed

##### 예시 침해 지표
**지표** | **설명** | **최초 관찰**
---|---|---
spectrum-exactly-knitting-rural[.]trycloudflare[.]com | Trycloudflare 호스트 | 2024년 5월
53c32ea384894526992d010c0c49ffe250d600b9b4472cce86bbd0249f88eada | .URL SHA256 | 2024년 5월
a79fbad625a5254d4f7f39461c2d687a1937f3f83e184bd62670944462b054f7 | LNK SHA256 | 2024년 5월
0f1118b30b2da0b6e82f95d9bbf87101d8298a85287f4de58c9655eb8fecd3c6 | CMD SHA256 | 2024년 5월
157[.]20[.]182[.]172 | Xworm C2 IP | 2024년 5월
dcxwq1[.]duckdns[.]org | AsyncRAT C2 | 2024년 5월
a40f194870b54aeb102089108ecf18b3af9b449066a240f0077ff4edbb556e81 | HTML SHA256 | 2024년 7월
3867de6fc23b11b3122252dcebf81886c25dba4e636dd1a3afed74f937c3b998 | LNK SHA256 | 2024년 7월
ride-fatal-italic-information[.]trycloudflare[.]com | Trycloudflare 호스트 | 2024년 7월
0fccf3d1fb38fa337baf707056f97ef011def859901bb922a4d0a1f25745e64f | BAT SHA256 | 2024년 7월
todfg[.]duckdns[.]org | AsyncRAT C2 | 2024년 7월
welxwrm[.]duckdns[.]org | Xworm C2 | 2024년 7월
xwor3july[.]duckdns[.]org | Xworm C2 | 2024년 7월

##### GN⁺의 정리
- 이 기사는 Cloudflare 터널을 악용한 악성코드 배포 증가에 대해 다루고 있음
- 공격자들은 Python 스크립트를 사용하여 악성코드를 배포하며, 이는 탐지와 제거를 어렵게 만듦
- 조직은 Python 사용을 제한하고 외부 파일 공유 서비스에 대한 접근을 제한해야 함
- 유사한 기능을 가진 다른 프로젝트로는 다양한 보안 솔루션이 있음

## Comments



### Comment 27763

- Author: neo
- Created: 2024-08-03T08:33:29+09:00
- Points: 1

###### [Hacker News 의견](https://news.ycombinator.com/item?id=41132328) 
- 악성 소프트웨어가 의심스러운 .ru 도메인이나 IP 주소에서 제공되던 시절은 지났음
  - 현재 위협 행위자들은 GCP, AWS, Azure, Cloudflare 등과 같은 인프라를 사용함
  - VPN도 일반 사용자와 동일한 것을 사용함
  - IP 주소와 도메인 이름이 보안 지표로 유용하지 않게 됨
  - 모든 트래픽과 이름 조회가 암호화되어 네트워크 운영자가 인터넷 활동을 알 수 없게 됨
  - 이는 프라이버시와 익명성을 개선하고, 비효율적인 네트워크 보안 솔루션을 줄이며, 근본적인 보안 문제를 해결하도록 강제함

- 링크 단축기를 통한 악성 소프트웨어 배포에 대한 헤드라인에 피로감을 느낌
  - 사람들이 다양한 방법으로 파일을 인터넷에 호스팅할 수 있다는 것은 놀라운 일이 아님

- Cloudflare의 무료 이메일 전송 서비스가 중단된 이유는 남용 때문임
  - 좋은 서비스가 남용되면 중단될 수밖에 없음

- Cloudflare 터널을 통해 악성 페이로드를 포함한 웹페이지를 호스팅할 수 있음
  - 뉴스 가치가 없다고 생각함

- 모든 무료 터널링 제품이 남용되면 결국 유료화됨
  - ngrok도 처음에는 간편했지만 남용으로 인해 가입 절차를 도입하게 됨

- TryCloudflare의 악성 사용에 대해 1년 전에 글을 썼음
  - 계정 없이 사용할 수 있어 추적이 거의 불가능함

- Cloudflare의 커스텀 오류 페이지 미리보기 기능에 취약점이 있었음
  - 로그인 자격 증명을 캡처할 수 있었음
  - JWT 토큰을 추가하여 수정했지만 버그 바운티는 지급되지 않음
  - TryCloudflare도 비슷한 문제를 가지고 있을 것이라고 의심함

- 초기 PGP 시대의 분산 신뢰 네트워크 아이디어가 어떻게 되었는지 궁금함
  - 현재는 소셜 미디어 계정의 팔로워 수 등을 기반으로 신뢰가 형성됨

- 엔드포인트 보안 프로그램이 이러한 유형의 공격을 감지할 수 있을지 궁금함
  - 공격자가 알려진 RAT를 재사용하지 않는 한 감지되지 않을 것이라고 생각함

- "I hope this message finds you well"라는 문구를 보면 스팸/사기 경고가 즉시 울림