俄黑客利用Cloudflare Tunnels和 DNS Fast-Flux 隐藏恶意软件针对乌克兰

据观察，名为Gamaredon 的威胁组织利用Cloudflare Tunnels作为一种策略来隐藏其托管名为 GammaDrop 的恶意软件的临时基础设施。

Recorded Future 的 Insikt Group 在一份新分析中表示，此次活动是自 2024 年初以来针对乌克兰实体的持续鱼叉式网络钓鱼活动的一部分，旨在投放 Visual Basic Script 恶意软件。

该网络安全公司正在追踪名为 BlueAlpha 的威胁组织，该组织也被称为 Aqua Blizzard、Armageddon、Hive0051、Iron Tilden、Primitive Bear、Shuckworm、Trident Ursa、UAC-0010、UNC530 和 Winterflounder。据信该组织自 2014 年以来一直活跃，隶属于俄罗斯联邦安全局 (FSB)。

Insikt Group指出： “BlueAlpha 最近开始使用 Cloudflare Tunnels 来隐藏GammaDrop使用的暂存基础设施，这是网络犯罪组织用来部署恶意软件的一种越来越流行的技术。”

“BlueAlpha 继续使用域名系统 (DNS)快速通量GammaLoad 命令和控制 (C2) 基础设施来复杂化对 C2 通信的跟踪和中断，以保留对受感染系统的访问。”

斯洛伐克网络安全公司 ESET曾在 2024 年 9 月记录了攻击者使用 Cloudflare Tunnel 的行为，当时该攻击针对的是乌克兰和保加利亚、拉脱维亚、立陶宛和波兰等北约国家。

它还将威胁组织的技术描述为鲁莽的，并且并不特别注重隐身，尽管他们尽力“避免被安全产品阻止，并竭尽全力保持对受感染系统的访问”。

“Gamaredon 试图通过同时部署多个简单的下载程序或后门来保持其访问权限。”ESET 补充道。“Gamaredon 工具的缺乏复杂性可以通过频繁更新和使用定期更改的混淆来弥补。”

Gamaredon 武器库中添加新工具的时间表

这些工具主要用于从浏览器、电子邮件客户端和 Signal 和 Telegram 等即时通讯应用程序内运行的网络应用程序中窃取有价值的数据，以及下载额外的有效负载并通过连接的 USB 驱动器传播恶意软件。

• PteroPSLoad、PteroX、PteroSand、PteroDash、PteroRisk 和 PteroPowder——下载有效载荷

• PteroCDrop——删除 Visual Basic 脚本有效载荷

• PteroClone——使用 rclone 实用程序传递有效载荷

• PteroLNK——利用连接的 USB 驱动器

• PteroDig——利用桌面文件夹中的 LNK 文件实现持久性

• PteroSocks——提供部分 SOCKS 代理功能

• PteroPShell、ReVBShell——用作远程 shell

• PteroPSDoor、PteroVDoor——从文件系统中提取特定文件

• PteroScreen——捕获并提取屏幕截图

• PteroSteal——窃取网络浏览器存储的凭证

• PteroCookie——窃取网络浏览器存储的 cookie

• PteroSig——窃取 Signal 应用程序存储的数据

• PteroGram——窃取 Telegram 应用程序存储的数据

• PteroBleed——从 Google Chrome、Microsoft Edge 和 Opera 中窃取 Telegram 和 WhatsApp 网络版本存储的数据

• PteroScout——窃取系统信息

Recorded Future 重点介绍的最新一组攻击包括发送带有 HTML 附件的网络钓鱼电子邮件，这些攻击利用一种称为 HTML 走私的技术通过嵌入的 JavaScript 代码激活感染过程。

HTML 附件打开后会释放一个包含恶意 LNK 文件的 7-Zip 存档（“56-27-11875.rar”），该文件利用 mshta.exe 来传送 GammaDrop，这是一个 HTA 释放程序，负责将名为 GammaLoad 的自定义加载器写入磁盘，随后与 C2 服务器建立联系以获取其他恶意软件。

GammaDrop 工件是从位于托管于域 amsterdam-sheet-veteran-aka.trycloudflare[.]com 上的 Cloudflare Tunnel 后面的暂存服务器检索到的。

就 GammaLoad 而言，当传统 DNS 出现故障时，它会利用 Google 和 Cloudflare 等 DNS-over-HTTPS ( DoH ) 提供商来解析 C2 基础设施。如果首次尝试与服务器通信失败，它还会采用快速通量 DNS 技术来获取 C2 地址。

Recorded Future 表示：“BlueAlpha 可能会利用 Cloudflare 等广泛使用的合法服务来继续改进逃避技术，从而使传统安全系统的检测变得更加复杂。”

“HTML 走私和基于 DNS 的持久性的持续增强可能会带来不断变化的挑战，尤其是对于威胁检测能力有限的组织而言。”

技术报告：

https://www.recordedfuture.com/research/bluealpha-abuses-cloudflare-tunneling-service

https://www.welivesecurity.com/en/eset-research/cyberespionage-gamaredon-way-analysis-toolset-used-spy-ukraine-2022-2023/

新闻链接：

https://thehackernews.com/2024/12/hackers-leveraging-cloudflare-tunnels.html

讲述普通人能听懂的安全故事