Команда Sekoia TDR (Threat Detection & Research) отслеживает атакующую инфраструктуру, называемую "Туннельная инфраструктура Cloudflare для доставки нескольких RAT". Эта инфраструктура используется для размещения вредоносных файлов и доставки троянов удаленного доступа. Эта инфраструктура активна с февраля 2024 года и остается стабильной. Атаки, основанные на этой инфраструктуре, имеют сложные цепочки заражений и различные вариации.
Описание
Главной целью этих атак является кража данных. Отчет описывает одну из последних обнаруженных цепочек заражения, которая использует туннельную инфраструктуру Cloudflare.
Первоначальный доступ в этой кампании осуществляется через фишинговые письма, замаскированные под счет или заказ. Вложение в письме представляет собой файл "application/windows-library+xml". Хотя этот тип файлов иногда блокируется, он считается безопасным форматом. Для обнаружения этого вида вредоносных писем можно использовать простое правило Sigma.
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 | version: 2.0 uuid: 695011ce-6c09-468b-b6ad-46768ab812d8 rule: Suspicious Email Attachment Received description: >- Detects email containing a suspicious file as an attachment, based on its extension. sources: https://attack.mitre.org/techniques/T1566/001/ https://www.microsoft.com/en-us/security/blog/2024/10/29/midnight-blizzard-conducts-large-scale-spear-phishing-campaign-using-rdp-files/ effort: advanced detection: email: email.from.address: '*' file: file.name|endswith: - '.bat' - '.dll' - '.exe' - '.hta' - '.library-ms' - '.ps1' - '.rdp' email_attachment: email.attachments.file.extension: - 'bat' - 'dll' - 'exe' - 'hta' - 'library-ms' - 'ps1' - 'rdp' filter: event.action: - 'discard' - 'reject' condition: (email and file) or (email_attachment and not filter) alert_category: fraud alert_type: phishing alert_severity: 50 attack: - T1566.001 - T1039 data_sources: - Email gateway - Mail server similarity_strategy: - file.name |
При выполнении атаки используется обманная тактика с использованием LNK-файла, замаскированного под ярлык PDF-файла. Открытие LNK-файла вызывает всплывающее предупреждение от функций безопасности Windows. Если пользователь пройдет этот этап, будет выполнен HTA-файл, который запустит файл BAT с удаленного сервера.
Индикаторы компрометации
Domains
- malawi-light-pill-bolt.trycloudflare.com
- phvnmarch8787.duckdns.org
- players-time-corresponding-th.trycloudflare.com
- spaces-corner-notices-battery.trycloudflare.com
- xi-if-grows-valued.trycloudflare.com
SHA256
- 0d7cee0c13374181a23e8f605b32f2969c9c490b83c7891318f26bd17777fd7c
- 0d8d46ec44e737e6ef6cd7df8edf95d83807e84be825ef76089307b399a6bcbb
- 0ff5dd1787acc886a586282858112c6f73b48c31093080d2d8a6e66f018ce8c7
- 33feae2e66e25f1b2d5905e0ce7b837bdeb6e8e9782ab39ff06b2243a7c4b5e7
- 47453b0ad93f60254ffb30a0964e0b8b6f1979e199d707b971c6ab6277fe0185
- 5d932bfda0ffd31715700de2fd43fc89c0f1d89eeabac92081ebe2062da84152
- a0a446acd5540772ab9a3ae2f78f94f9a203cae06249d9e70710d7f797ff9da9
- c458a21ae510f81fd76affb147ce84008c66b9dab246f6a2322e0f3b137e0539
- c935cc41342794c23d640333a1ddd511f9c51e5b790261dc848ec5f7ac28650a
- e0e0f9a1082b641acff2cb225454342ca54109d01001b0e20b4fac0c9d5501a4
