ผู้ไม่ประสงค์ดีใช้ฟีเจอร์ TryCloudflare ของ Cloudflare เพื่อสร้างช่องทางชั่วคราวสำหรับการแจกจ่ายโทรจันการเข้าถึงระยะไกล (Remote Access Trojans)
เป็นเวลาครึ่งปีที่ผู้ไม่หวังดีได้ใช้ Cloudflare Tunnels ในการส่งโทรจันการเข้าถึงระยะไกล (Remote Access Trojan หรือ RAT) หลายตระกูล โดยมีรายงานจาก Proofpoint
เริ่มตั้งแต่เดือนกุมภาพันธ์ 2024 ผู้โจมตีได้ใช้ฟีเจอร์ TryCloudflare ในการสร้างช่องทางชั่วคราวโดยไม่ต้องมีบัญชี และใช้ช่องทางเหล่านี้ในการแจกจ่าย AsyncRAT, GuLoader, Remcos, VenomRAT, และ Xworm
เช่นเดียวกับ VPNs ช่องทางเหล่านี้ของ Cloudflare ให้วิธีในการเข้าถึงทรัพยากรภายนอกจากระยะไกล ในการโจมตีที่พบ ผู้โจมตีจะส่งข้อความฟิชชิ่งที่มี URL หรือไฟล์แนบที่นำไปสู่ URL ที่สร้างการเชื่อมต่อช่องทางไปยังการแชร์ภายนอก
เมื่อเข้าถึงลิงก์ จะมีการดาวน์โหลด payload ขั้นแรกและเริ่มต้นโซ่การติดเชื้อหลายขั้นตอนที่นำไปสู่การติดตั้งมัลแวร์
“บางแคมเปญจะนำไปสู่ payload ของมัลแวร์หลายตัว โดยแต่ละสคริปต์ Python ที่ไม่ซ้ำกันจะนำไปสู่การติดตั้งมัลแวร์ที่แตกต่างกัน” Proofpoint กล่าว
ในการโจมตี ผู้โจมตีใช้เหยื่อเป็นภาษาต่าง ๆ เช่น อังกฤษ ฝรั่งเศส เยอรมัน และสเปน โดยมักจะเป็นหัวข้อที่เกี่ยวข้องกับธุรกิจ เช่น คำร้องขอเอกสาร ใบแจ้งหนี้ การส่งของ และภาษี
“ปริมาณข้อความในแคมเปญมีตั้งแต่หลายร้อยจนถึงหลายหมื่นข้อความที่มีผลกระทบต่อหลายสิบถึงหลายพันองค์กรทั่วโลก” Proofpoint ชี้แจง
บริษัทความปลอดภัยทางไซเบอร์ยังระบุด้วยว่า แม้ว่าส่วนต่าง ๆ ของโซ่การโจมตีจะถูกปรับปรุงเพื่อเพิ่มความซับซ้อนและหลีกเลี่ยงการป้องกัน แต่กลยุทธ์ เทคนิค และกระบวนการ (TTPs) ที่สม่ำเสมอได้ถูกใช้ตลอดแคมเปญ บ่งชี้ว่าผู้โจมตีคนเดียวกันเป็นผู้รับผิดชอบการโจมตีเหล่านี้ อย่างไรก็ตาม กิจกรรมนี้ยังไม่ได้รับการระบุถึงผู้โจมตีเฉพาะเจาะจง
“การใช้ Cloudflare tunnels ให้ผู้โจมตีมีวิธีใช้โครงสร้างพื้นฐานชั่วคราวในการขยายการปฏิบัติการของพวกเขา โดยให้ความยืดหยุ่นในการสร้างและลบตัวอย่างได้อย่างรวดเร็ว ซึ่งทำให้การป้องกันและมาตรการความปลอดภัยแบบดั้งเดิมเช่นการพึ่งพารายการบล็อกแบบคงที่ยากขึ้น” Proofpoint กล่าว
ตั้งแต่ปี 2023 มีการสังเกตเห็นผู้โจมตีหลายรายใช้ช่องทาง TryCloudflare ในแคมเปญที่ไม่หวังดีของพวกเขา และเทคนิคนี้กำลังได้รับความนิยมมากขึ้น Proofpoint ยังกล่าวเพิ่มเติมว่า
ปีที่แล้วมีผู้โจมตีที่ใช้ TryCloudflare ในแคมเปญการแจกจ่ายมัลแวร์ LabRat เพื่อการทำให้การโครงสร้างพื้นฐาน command-and-control (C&C) สับสน
Credit: Securityweek.com
