Исследователи Proofpoint сообщают, что злоумышленники все чаще злоупотребляют функциональностью Cloudflare Tunnel в своих кампаниях по распространению малвари (обычно это трояны удаленного доступа, RAT). А специалисты Spamhaus, тем временем, критикуют Cloudflare за бездействие.
Впервые эта активность киберпреступников была замечена в феврале текущего года. Хакеры используют бесплатный сервис TryCloudflare для распространения сразу нескольких RAT, включая AsyncRAT, GuLoader, VenomRAT, Remcos RAT и Xworm.
CloudFlare Tunnel — популярная функция, которая позволяет проксировать трафик через зашифрованный туннель для доступа к локальным службам и серверам в интернете без раскрытия IP-адресов.
С помощью TryCloudflare пользователи могут создавать временные туннели к локальным серверам и опробовать сервис без необходимости заводить учетную запись Cloudflare. В этом случае каждый туннель генерирует временный случайный поддомен на trycloudflare.com, который затем используется для маршрутизации трафика через сеть Cloudflare к локальному серверу.
В прошлом злоумышленники уже использовали эту функциональность для получения удаленного доступа к взломанным системам, избегая при этом обнаружения.
Как теперь сообщили специалисты Proofpoint, они обнаружили активность вредоносного ПО, направленную на юридические, финансовые, производственные и технологические организации. И хакеры использовали вредоносные файлы .LNK, размещенные на легитимном домене TryCloudflare.
Атака начиналась с того, что злоумышленники рассылали будущим жертвам письма-приманки, якобы связанные с налогами. В письмах содержались URL-адреса или вложения, ведущие к упомянутой полезной нагрузке формате .LNK. При запуске этот пейлоад запускал BAT- или CMD-скрипт, который развертывал PowerShell. После этого загружались инсталляторы Python для развертывания финальной полезной нагрузки.
По данным Proofpoint, волна вредоносных почтовых рассылок, начавшаяся 11 июля 2024 года, распространила более 1500 вредоносных писем, тогда как более ранняя волна (от 28 мая текущего года) насчитывала менее 50 сообщений.
Размещение LNK-файлов в инфраструктуре Cloudflare дает атакующим сразу несколько преимуществ, в том числе позволяет выдать трафик за легитимный (благодаря репутации сервиса). Кроме того, функция TryCloudflare обеспечивает хакерам анонимность, а поддомены, обслуживающие файлы .LNK, являются временными, поэтому их блокировка практически бесполезна. Также сервис является бесплатным и надежным, поэтому злоумышленникам не нужно тратить средства на создание собственной инфраструктуры.
После публикации отчета экспертов, представители Cloudflare сообщили СМИ:
«Cloudflare незамедлительно отключает и удаляет любые вредоносные туннели, как только они обнаруживаются нашей командой или о них сообщают сторонние специалисты.
За последние несколько лет Cloudflare внедрила в свой продукт для обнаружения [вредоносных] туннелей машинное обучение, чтобы лучше сдерживать возможную вредоносную активность.
Мы призываем Proofpoint и других поставщиков защитных решений сообщать о любых подозрительных URL-адресах, и мы примем меры против клиентов, использующих наши услуги для распространения вредоносного ПО».
Нужно отметить, что ранее на этой неделе с критикой в адрес компании Cloudflare выступили специалисты некоммерческой организации Spamhaus. Они заявили, что примерно 10% ресурсов из черного списка Spamhaus успешно используют сервисы Cloudflare для защиты, и организация получила уже более 1200 нерешенных жалоб.
Эксперты заявили, что Cloudflare умышленно закрывает глаза на ресурсы киберпреступников в своей инфраструктуре, косвенно помогая злоумышленникам в распространении спама, малвари и проведении DDoS-атак, с которыми Cloudflare должна бороться.
Отмечается, что в сети без труда можно найти защищенные Cloudflare сайты, которые открыто рекламируют такие услуги, как пуленепробиваемый хостинг.
«В течение многих лет Spamhaus наблюдала за неправомерной деятельностью, которой способствовали различные сервисы Cloudflare, — пишут в Spamhaus. — Киберпреступники используют эти легитимные сервисы для маскировки свой деятельности и расширения своих вредоносных операций. Эта тактика называется "выживание за счет доверенных сервисов" (living off trusted services, LOTS)».
В ответ на эти обвинения в Cloudflare сообщили:
«Cloudflare имеет всесторонний и продуманный процесс информирования о злоупотреблениях, который позволяет пользователям сообщать о подозрениях в незаконной или вредоносной деятельности, о чем Cloudflare затем информирует хостинг-провайдеров и владельцев сайтов, а также правоохранительные органы, если это необходимо.
Мы не согласны со Spamhaus в этом вопросе, особенно с учетом того, что прекращение работы пользователей приведет лишь к отключению защитных сервисов для веб-сайтов, но не к удалению контента. Также отметим, что Spamhaus сама пользуется услугами Cloudflare, и мы приветствуем дальнейшее взаимодействие с такими организациями, как Spamhaus, по вопросам борьбы с вредоносной активностью».
