Злоумышленник использует туннели Cloudflare для доставки RAT.

security IOC

Компания Proofpoint наблюдает за группой киберугроз, использующих туннели Cloudflare для доставки вредоносного ПО. Злоумышленники использовали функцию TryCloudflare, чтобы создавать одноразовые туннели без необходимости создания учетной записи. Они доставляют трояны удаленного доступа (RAT) через такие туннели. За наблюдаемыми кампаниями стояла группа угроз, которая меняла тактику и технику, чтобы обойти обнаружение и повысить эффективность. Темы сообщений варьируются, но чаще всего они связаны с бизнесом. Кампании доставляют различные вредоносные программы, такие как Xworm, AsyncRAT, VenomRAT, GuLoader и Remcos. Объем сообщений в кампаниях также различается, и они затрагивают организации по всему миру.

Злоупотребление туннелями TryCloudflare стало популярным среди киберпреступников. При каждом использовании таких туннелей генерируется случайный поддомен на trycloudflare[.]com. Приманки содержат URL-адреса или вложения, ведущие к файлам интернет-ярлыков (.URL). После выполнения интернет-ярлыка загружаются вредоносные программы, которые могут вызвать установку различных троянов удаленного доступа.

Исследователи обнаружили, что злоумышленники модифицируют различные части своих атак, чтобы избежать обнаружения. Они начали использовать обфускацию в своих скриптах-помощниках, которая усложняет анализ кода. Кампании также привлекают внимание организаций различных отраслей, таких как юридические, финансовые и производственные.

Примеры кампаний на налоговую тематику и с выставлением счетов-фактур показывают, что злоумышленники продолжают использовать различные приманки, чтобы привлечь внимание жертв и заразить их компьютеры. Обнаруженные кампании доставляли вредоносное ПО Xworm и AsyncRAT, их сообщения имели различные форматы и направлены на разные организации.

Indicators of Compromise

IPv4

  • 157.20.182.172

Domains

  • dcxwq1.duckdns.org
  • ride-fatal-italic-information.trycloudflare.com
  • spectrum-exactly-knitting-rural.trycloudflare.com
  • todfg.duckdns.org
  • welxwrm.duckdns.org
  • xwor3july.duckdns.org

SHA256

  • 0f1118b30b2da0b6e82f95d9bbf87101d8298a85287f4de58c9655eb8fecd3c6
  • 0fccf3d1fb38fa337baf707056f97ef011def859901bb922a4d0a1f25745e64f
  • 3867de6fc23b11b3122252dcebf81886c25dba4e636dd1a3afed74f937c3b998
  • 53c32ea384894526992d010c0c49ffe250d600b9b4472cce86bbd0249f88eada
  • a40f194870b54aeb102089108ecf18b3af9b449066a240f0077ff4edbb556e81
  • a79fbad625a5254d4f7f39461c2d687a1937f3f83e184bd62670944462b054f7
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий