СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
01.05.2025
#ИБ#Инфра#Облака

Туннельная инфраструктура Cloudflare: угроза для кибербезопасности

Туннельная инфраструктура Cloudflare: угроза для кибербезопасности

Источник: blog.sekoia.io

Команда Sekoia TDR представила новый отчет, в котором описывается сложная и многоэтапная инфраструктура злоумышленников, работающая под названием «туннельная инфраструктура Cloudflare для доставки нескольких RAT». Согласно данным отчета, данная инфраструктура функционирует как минимум с февраля 2024 года и активно используется различными киберпреступниками для распространения троянских программ удаленного доступа (RATs) и хранения вредоносных файлов.

Механизм атак

Анализ выявленных кампаний атак демонстрирует, что злоумышленники часто нацеливаются на сотрудников, используя фишинговые электронные письма, которые маскируются под счета или заказы. Ключевые особенности этих атак:

  • Создание ложного ощущения срочности.
  • Вложения, представленные в виде файлов типа «приложение/windows-библиотека + xml».
  • Поддельные файлы LNK, замаскированные под ярлыки PDF.

После открытия таких вложений пользователи получают предупреждение от системы безопасности Windows о потенциальной угрозе. В дальнейшем процесс включает:

  1. Использование файла BAT для запуска скрипта PowerShell.
  2. Загрузку и установку зависимостей, включая скрипты Python.
  3. Обход обнаружения системами безопасности с помощью сложных методов.

Методы уклонения и скрытия вредоносных файлов

В ходе атак злоумышленники применяют различные методы, чтобы скрыть свои действия от систем безопасности. Скрипт использует команды, такие как attrib.exe, для сокрытия установленных каталогов Python на компьютере жертвы.

Использование Cloudflare и динамических DNS

Большинство вредоносных файлов, задействованных в описанных атаках, размещаются в инфраструктуре злонамеренного актора, который применяет службу TryCloudflare вместе с протоколом WebDAV. Примечательно, что поддельные счета-фактуры в формате PDF не всегда исходят с этой инфраструктуры. Попытки установить соединение с серверами AsyncRAT C2 часто продолжены через общедоступные IP-адреса, разрешенные с использованием служб динамического DNS.

Выводы отчета

В отчете акцентируется внимание на продвинутом характере атак, использующих устойчивую инфраструктуру для реализации сложных кибератак. Эксперты подчеркивают важность надежных возможностей обнаружения и использования аналитических данных о угрозах для выявления атакующих моделей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: