2P by neo 4달전 | favorite | 댓글 1개

주요 발견

  • Proofpoint는 TryCloudflare Tunnel을 악용한 악성코드 배포가 증가하고 있음을 관찰함
  • 이 활동은 재정적 동기를 가지고 있으며 원격 접근 트로이 목마(RATs)를 배포함
  • 초기 관찰 이후, 공격자들은 탐지를 피하고 효율성을 높이기 위해 전술, 기술 및 절차를 수정함
  • Proofpoint는 이 활동을 특정 위협 행위자에게 귀속하지 않지만, 연구는 계속 진행 중임

개요

Proofpoint는 Cloudflare Tunnels를 악용하여 악성코드를 배포하는 사이버 범죄 활동을 추적 중임. 특히, 공격자는 계정을 생성하지 않고 일회성 터널을 만들 수 있는 TryCloudflare 기능을 악용함. 터널은 VPN이나 SSH 프로토콜처럼 로컬 네트워크에 없는 데이터와 자원에 원격으로 접근할 수 있게 함. 2024년 2월 처음 관찰된 이 클러스터는 5월부터 7월까지 활동이 증가했으며, 최근 몇 달 동안 대부분의 캠페인은 Xworm이라는 RAT로 이어짐. 대부분의 캠페인에서는 URL이나 첨부 파일이 포함된 메시지가 인터넷 바로가기(.URL) 파일로 연결됨. 실행되면 WebDAV를 통해 외부 파일 공유에 연결하여 LNK 또는 VBS 파일을 다운로드함. 실행되면 LNK/VBS는 BAT 또는 CMD 파일을 실행하여 Python 설치 패키지와 일련의 Python 스크립트를 다운로드하여 악성코드를 설치함. 일부 경우에는 search-ms 프로토콜 핸들러를 사용하여 WebDAV 공유에서 LNK를 검색함. 일반적으로 캠페인에서는 사용자가 합법적으로 보이도록 무해한 PDF를 표시함.

캠페인 예시

AsyncRAT / Xworm 캠페인 2024년 5월 28일 Proofpoint는 2024년 5월 28일에 AsyncRAT와 Xworm을 배포하는 캠페인을 관찰함. 이 캠페인에서는 세금 테마의 메시지가 URL 파일이 포함된 압축 파일로 연결됨. 이 캠페인은 법률 및 금융 분야의 조직을 대상으로 하며 총 메시지 수는 50개 미만임. URL 파일은 원격 LNK 파일을 가리킴. 실행되면 CMD 헬퍼 스크립트가 PowerShell을 호출하여 압축된 Python 패키지와 Python 스크립트를 다운로드함. Python 패키지와 스크립트는 AsyncRAT와 Xworm의 설치로 이어짐.

AsyncRAT / Xworm 캠페인 2024년 7월 11일 연구원들은 2024년 7월 11일에 Cloudflare 터널을 활용하여 AsyncRAT와 Xworm을 배포하는 또 다른 캠페인을 관찰함. 이 캠페인은 금융, 제조, 기술 등 다양한 분야의 조직을 대상으로 1,500개 이상의 메시지를 포함함. 이 캠페인에서는 HTML 첨부 파일이 search-ms 쿼리를 포함하여 LNK 파일을 가리킴. 실행되면 난독화된 BAT 파일이 PowerShell을 호출하여 Python 설치 패키지와 스크립트를 다운로드하여 AsyncRAT와 Xworm을 실행함.

귀속

캠페인에서 관찰된 전술, 기술 및 절차(TTP)에 기반하여 Proofpoint는 이를 관련 활동의 한 클러스터로 평가함. 연구원들은 이 활동을 특정 위협 행위자에게 귀속하지 않았지만, 연구는 계속 진행 중임.

중요성

Cloudflare 터널의 사용은 공격자들에게 임시 인프라를 사용하여 운영을 확장할 수 있는 유연성을 제공함. 이는 방어자와 전통적인 보안 조치가 정적 차단 목록에 의존하는 것을 어렵게 만듦. 임시 Cloudflare 인스턴스는 공격자들에게 탐지 및 제거 노출을 최소화하면서 공격을 준비할 수 있는 저비용 방법을 제공함. 공격자들이 악성코드 배포에 Python 스크립트를 사용하는 것은 주목할 만함. Python 라이브러리와 실행 파일 설치 프로그램을 Python 스크립트와 함께 패키징하면, 이전에 Python이 설치되지 않은 호스트에서도 악성코드를 다운로드하고 실행할 수 있음. 조직은 개인의 직무 기능에 필요하지 않은 경우 Python 사용을 제한해야 함. 최근 몇 달 동안 Proofpoint는 Java 기반 악성코드를 배포하는 캠페인을 관찰했으며, ZIP 내부에 JAR 및 Java Runtime Environment(JRE)를 포함하여 올바른 소프트웨어가 설치된 후 다운로더 또는 드로퍼를 실행하도록 함. 공격 체인은 최종 페이로드를 실행하기 위해 피해자의 상당한 상호작용을 요구함. 이는 수신자가 의심스러운 활동을 식별하고 공격 체인을 방해할 수 있는 여러 기회를 제공함.

Emerging Threats 서명

Emerging Threats 규칙 세트에는 이 캠페인에서 식별된 악성코드를 탐지하는 규칙이 포함됨. 예시:

  • 2853193 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
  • 2852870 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes
  • 2852923 | ETPRO MALWARE Win32/Xworm CnC Checkin – Generic Prefix Bytes(Client)
  • 2855924 | ETPRO MALWARE Win32/Xworm V3 CnC Command – PING Outbound
  • 2857507 | ETPRO ATTACK_RESPONSE Suspicious HTML Serving Abused URL Linking Method Observed

예시 침해 지표

지표 | 설명 | 최초 관찰 ---|---|--- spectrum-exactly-knitting-rural[.]trycloudflare[.]com | Trycloudflare 호스트 | 2024년 5월 53c32ea384894526992d010c0c49ffe250d600b9b4472cce86bbd0249f88eada | .URL SHA256 | 2024년 5월 a79fbad625a5254d4f7f39461c2d687a1937f3f83e184bd62670944462b054f7 | LNK SHA256 | 2024년 5월 0f1118b30b2da0b6e82f95d9bbf87101d8298a85287f4de58c9655eb8fecd3c6 | CMD SHA256 | 2024년 5월 157[.]20[.]182[.]172 | Xworm C2 IP | 2024년 5월 dcxwq1[.]duckdns[.]org | AsyncRAT C2 | 2024년 5월 a40f194870b54aeb102089108ecf18b3af9b449066a240f0077ff4edbb556e81 | HTML SHA256 | 2024년 7월 3867de6fc23b11b3122252dcebf81886c25dba4e636dd1a3afed74f937c3b998 | LNK SHA256 | 2024년 7월 ride-fatal-italic-information[.]trycloudflare[.]com | Trycloudflare 호스트 | 2024년 7월 0fccf3d1fb38fa337baf707056f97ef011def859901bb922a4d0a1f25745e64f | BAT SHA256 | 2024년 7월 todfg[.]duckdns[.]org | AsyncRAT C2 | 2024년 7월 welxwrm[.]duckdns[.]org | Xworm C2 | 2024년 7월 xwor3july[.]duckdns[.]org | Xworm C2 | 2024년 7월

GN⁺의 정리

  • 이 기사는 Cloudflare 터널을 악용한 악성코드 배포 증가에 대해 다루고 있음
  • 공격자들은 Python 스크립트를 사용하여 악성코드를 배포하며, 이는 탐지와 제거를 어렵게 만듦
  • 조직은 Python 사용을 제한하고 외부 파일 공유 서비스에 대한 접근을 제한해야 함
  • 유사한 기능을 가진 다른 프로젝트로는 다양한 보안 솔루션이 있음
Hacker News 의견
  • 악성 소프트웨어가 의심스러운 .ru 도메인이나 IP 주소에서 제공되던 시절은 지났음

    • 현재 위협 행위자들은 GCP, AWS, Azure, Cloudflare 등과 같은 인프라를 사용함
    • VPN도 일반 사용자와 동일한 것을 사용함
    • IP 주소와 도메인 이름이 보안 지표로 유용하지 않게 됨
    • 모든 트래픽과 이름 조회가 암호화되어 네트워크 운영자가 인터넷 활동을 알 수 없게 됨
    • 이는 프라이버시와 익명성을 개선하고, 비효율적인 네트워크 보안 솔루션을 줄이며, 근본적인 보안 문제를 해결하도록 강제함
  • 링크 단축기를 통한 악성 소프트웨어 배포에 대한 헤드라인에 피로감을 느낌

    • 사람들이 다양한 방법으로 파일을 인터넷에 호스팅할 수 있다는 것은 놀라운 일이 아님
  • Cloudflare의 무료 이메일 전송 서비스가 중단된 이유는 남용 때문임

    • 좋은 서비스가 남용되면 중단될 수밖에 없음
  • Cloudflare 터널을 통해 악성 페이로드를 포함한 웹페이지를 호스팅할 수 있음

    • 뉴스 가치가 없다고 생각함
  • 모든 무료 터널링 제품이 남용되면 결국 유료화됨

    • ngrok도 처음에는 간편했지만 남용으로 인해 가입 절차를 도입하게 됨
  • TryCloudflare의 악성 사용에 대해 1년 전에 글을 썼음

    • 계정 없이 사용할 수 있어 추적이 거의 불가능함
  • Cloudflare의 커스텀 오류 페이지 미리보기 기능에 취약점이 있었음

    • 로그인 자격 증명을 캡처할 수 있었음
    • JWT 토큰을 추가하여 수정했지만 버그 바운티는 지급되지 않음
    • TryCloudflare도 비슷한 문제를 가지고 있을 것이라고 의심함
  • 초기 PGP 시대의 분산 신뢰 네트워크 아이디어가 어떻게 되었는지 궁금함

    • 현재는 소셜 미디어 계정의 팔로워 수 등을 기반으로 신뢰가 형성됨
  • 엔드포인트 보안 프로그램이 이러한 유형의 공격을 감지할 수 있을지 궁금함

    • 공격자가 알려진 RAT를 재사용하지 않는 한 감지되지 않을 것이라고 생각함
  • "I hope this message finds you well"라는 문구를 보면 스팸/사기 경고가 즉시 울림