Missbrauch von Cloudflare Tunnels für Malware-Auslieferung

In den letzten sechs Monaten haben Bedrohungsakteure Cloudflare Tunnels missbraucht. Dies dient der Auslieferung verschiedener Remote Access Trojans (RATs). Proofpoint, ein wichtiges Unternehmen im Bereich Cybersicherheit, berichtet über diese besorgniserregende Entwicklung. Seit Februar 2024 setzen die Angreifer die Funktion "TryCloudflare" ein, um temporäre Tunnel zu erstellen — ohne ein Konto zu benötigen. Diese Taktik ermöglicht ihnen die Verbreitung von gefährlicher Software wie AsyncRAT, GuLoader, Remcos, VenomRAT und Xworm.

Schlagworte:

Missbrauch von Cloudflare Tunnels für Malware-Auslieferung

2. August 2024 von   Kategorie: IT & Sicherheit
malware quellcode powershell zip download.jpg

Funktionsweise der Angriffe


Cloudflare Tunnels fungieren ähnlich wie VPNs — sie bieten eine Möglichkeit, von außen auf externe Ressourcen zuzugreifen. In den beobachteten Angriffen verschicken die Bedrohungsakteure Phishing-Nachrichten. Diese Nachrichten enthalten oftmals einen Link oder einen Anhang, der zu einer URL führt, die eine Tunnelverbindung zu einem externen Speicherort erstellt. Sobald der Link angeklickt wird, wird ein erstes Payload heruntergeladen. Darauf folgt eine mehrstufige Infektionskette, die zur Installation weiterer Malware führt.

Sehen wir uns das besser an — in einigen Kampagnen führen die Angriffe zu zahlreichen verschiedenen Malware-Payloads. Jeder einzigartige Python-Skript führt zur Installation von spezifischen Malware-Familien. Proofpoint beschreibt dies als eine interessante Dynamik.

Vielfältige Strategien der Bedrohungsakteure


In den Angriffen nutzen die Bedrohungsakteure eine Vielzahl von Sprachen — darunter Englisch, Französisch, Deutsch und Spanisch. Die gewählten Themen sind oft geschäftlich relevant. Dokumentenanfragen, Rechnungen, Lieferungen und Steuern sind häufig anzutreffende Inhalte.


Proofpoint weist darauf hin, dass das Volumen der Kampagnen-Nachrichten von mehreren Hundert bis zu Zehntausenden reicht. Dies betrifft Dutzende bis hin zu Tausenden von Organisationen weltweit.

Taktiken und Techniken angepasste Angriffe


Obwohl verschiedene Teile der Angriffs-Chain modifiziert wurden, um die Raffinesse zu erhöhen und die Abwehr zu umgehen, bleibt das Muster stabil. Konsistente Taktiken, Techniken und Verfahren (TTPs) wurden im Laufe der Kampagnen verwendet. Dies lässt darauf schließen, dass ein einzelner Bedrohungsakteur für die Angriffe verantwortlich ist. Die Aktivitäten können jedoch nicht einem spezifischen Akteur zugeordnet werden.

Cloudflare Tunnels bieten den Angreifern eine wichtige Logistik — temporäre Infrastruktur ermöglicht es ihnen, ihre Operationen zu skalieren. Dies gibt den Bedrohungsakteuren die Flexibilität, Instanzen schnell zu erstellen und abzubauen. Für Verteidiger wird dies eine Herausforderung sein — traditionelle Sicherheitsmaßnahmen, wie statische Blocklisten, werden dadurch in ihrer Wirksamkeit eingeschränkt.

Zunehmende Beliebtheit von Missbräuchen


Seit 2023 ist eine Reihe von Gegnern zu beobachten, die TryCloudflare Tunnels für schädliche Kampagnen missbrauchen. Die Technik erlangt zunehmend an Popularität. Im vergangenen Jahr beobachtete man, wie Angreifer TryCloudflare in einer LabRat-Malware-Vertriebskampagne für die Obfuskation ihrer Kommando- und Kontrollinfrastruktur verwendeten.

Zusammenfassend ist der Missbrauch von Cloudflare Tunnels eine ernsthafte Bedrohung. Es ist essenziell, dass Organisationen wachsam bleiben und moderne Sicherheitsmaßnahmen implementieren, um den sich ständig weiterentwickelnden Bedrohungen entgegenzuwirken.