Funktionsweise der Angriffe
Cloudflare Tunnels fungieren ähnlich wie VPNs — sie bieten eine Möglichkeit, von außen auf externe Ressourcen zuzugreifen. In den beobachteten Angriffen verschicken die Bedrohungsakteure Phishing-Nachrichten. Diese Nachrichten enthalten oftmals einen Link oder einen Anhang, der zu einer URL führt, die eine Tunnelverbindung zu einem externen Speicherort erstellt. Sobald der Link angeklickt wird, wird ein erstes Payload heruntergeladen. Darauf folgt eine mehrstufige Infektionskette, die zur Installation weiterer Malware führt.
Sehen wir uns das besser an — in einigen Kampagnen führen die Angriffe zu zahlreichen verschiedenen Malware-Payloads. Jeder einzigartige Python-Skript führt zur Installation von spezifischen Malware-Familien. Proofpoint beschreibt dies als eine interessante Dynamik.
Vielfältige Strategien der Bedrohungsakteure
In den Angriffen nutzen die Bedrohungsakteure eine Vielzahl von Sprachen — darunter Englisch, Französisch, Deutsch und Spanisch. Die gewählten Themen sind oft geschäftlich relevant. Dokumentenanfragen, Rechnungen, Lieferungen und Steuern sind häufig anzutreffende Inhalte.
Proofpoint weist darauf hin, dass das Volumen der Kampagnen-Nachrichten von mehreren Hundert bis zu Zehntausenden reicht. Dies betrifft Dutzende bis hin zu Tausenden von Organisationen weltweit.
Taktiken und Techniken angepasste Angriffe
Obwohl verschiedene Teile der Angriffs-Chain modifiziert wurden, um die Raffinesse zu erhöhen und die Abwehr zu umgehen, bleibt das Muster stabil. Konsistente Taktiken, Techniken und Verfahren (TTPs) wurden im Laufe der Kampagnen verwendet. Dies lässt darauf schließen, dass ein einzelner Bedrohungsakteur für die Angriffe verantwortlich ist. Die Aktivitäten können jedoch nicht einem spezifischen Akteur zugeordnet werden.
Cloudflare Tunnels bieten den Angreifern eine wichtige Logistik — temporäre Infrastruktur ermöglicht es ihnen, ihre Operationen zu skalieren. Dies gibt den Bedrohungsakteuren die Flexibilität, Instanzen schnell zu erstellen und abzubauen. Für Verteidiger wird dies eine Herausforderung sein — traditionelle Sicherheitsmaßnahmen, wie statische Blocklisten, werden dadurch in ihrer Wirksamkeit eingeschränkt.
Zunehmende Beliebtheit von Missbräuchen
Seit 2023 ist eine Reihe von Gegnern zu beobachten, die TryCloudflare Tunnels für schädliche Kampagnen missbrauchen. Die Technik erlangt zunehmend an Popularität. Im vergangenen Jahr beobachtete man, wie Angreifer TryCloudflare in einer LabRat-Malware-Vertriebskampagne für die Obfuskation ihrer Kommando- und Kontrollinfrastruktur verwendeten.
Zusammenfassend ist der Missbrauch von Cloudflare Tunnels eine ernsthafte Bedrohung. Es ist essenziell, dass Organisationen wachsam bleiben und moderne Sicherheitsmaßnahmen implementieren, um den sich ständig weiterentwickelnden Bedrohungen entgegenzuwirken.