Cloudflare Tunnel bị lạm dụng trong chiến dịch phần mềm độc hại mới

Công ty an ninh mạng Securonix (Mỹ) đã phát hiện ra một chiến dịch phát tán phần mềm độc hại lợi dụng Cloudflare Tunnel, nhằm lưu trữ dữ liệu trên các tên miền phụ do kẻ tấn công kiểm soát.

Được gọi là Serpentine#Cloud, chiến dịch này dựa vào chuỗi lây nhiễm phức tạp liên quan đến các tệp shortcut (LNK) và các tập lệnh được tối giản hóa, để cung cấp trình tải (loader) dựa trên Python có thể thực thi payload Donut-PE trong bộ nhớ. Các cuộc tấn công ban đầu liên quan đến chiến dịch này dựa vào các tệp URL để thực thi payload, nhưng sau đó chuyển sang sử dụng các tệp BAT, thường ở dạng lưu trữ ZIP, để truy xuất và thực thi payload từ Cloudflare Tunnel.

Trong các cuộc tấn công thời gian gần đây, Securonix phát hiện các tệp LNK được ngụy trang dưới dạng tài liệu PDF đã được sử dụng để phân phối payload độc hại. Các payload này sau đó được sử dụng để truy xuất các giai đoạn bổ sung qua WebDAV thông qua các tên miền phụ Cloudflare Tunnel. Theo các nhà nghiên cứu, nạn nhân nhận được các tệp LNK qua email lừa đảo có chủ đề về thanh toán và hóa đơn, với các liên kết đến tệp ZIP chứa tệp LNK.

Cloudflare Tunnel cung cấp quyền truy cập từ xa vào các tài nguyên, ví dụ như VPN, kẻ tấn công ngày càng lợi dụng điều này để phát tán phần mềm độc hại, vì chúng có thể ẩn danh trong khi vượt qua các giải pháp bảo mật, do lưu lượng truy cập đến từ một dịch vụ hợp pháp.

Khi tệp LNK được thực thi, phần mềm độc hại dựa vào robocopy để lấy tệp Windows Script File (WSF) từ một chia sẻ WebDAV từ xa được lưu trữ trên cơ sở hạ tầng của Cloudflare Tunnel, đồng thời tiếp tục thực thi tập lệnh thông qua Windows Script Host (WSH).

Quá trình lây nhiễm tiếp tục bằng việc thực thi một tệp lệnh được mã hóa để tải phần mềm độc hại dựa trên Python, duy trì tính bền bỉ, ẩn các thư mục của phần mềm độc hại và sau đó thực thi phần mềm đó. “Phần mềm độc hại là trình tải shellcode sử dụng Early Bird APC injection để bí mật thực thi shellcode trong một tiến trình mới được tạo ra”, Securonix giải thích.

Securonix cho biết chiến dịch này nhắm vào các thực thể tại Mỹ, Vương quốc Anh, Đức và các khu vực khác trên khắp châu Âu và châu Á. Hiện tại, danh tính của những kẻ đe dọa đứng sau chiến dịch này vẫn chưa được tiết lộ.

Serpentine#Cloud không phải là hoạt động độc hại đầu tiên lợi dụng Cloudflare Tunnel để lây nhiễm backdoor. Năm 2024, công ty an ninh mạng Proofpoint (Mỹ) đã cảnh báo về một chiến dịch tương tự phân phối AsyncRAT, GuLoader, Remcos, VenomRAT và Xworm.

Các nhà nghiên cứu cho biết, mặc dù cơ sở hạ tầng và cơ chế triển khai rất giống nhau, thế nhưng có thể chiến dịch Serpentine#Cloud cũng có một số điểm khác biệt, điều này bao gồm việc sử dụng mã hóa, các giai đoạn bổ sung để giúp mã độc ẩn mình và triển khai trình tải shellcode Python để phân phối các phần mềm độc hại.