bencede
New member
Dünya çapında daha önce bilinmeyen siber suçlular, Uzaktan Erişim Truva Atları (RAT'lar) gibi kötü amaçlı yazılımları engellenmeden yaymak için Cloudflare'in ücretsiz hizmeti “TryCloudflare”yi kullanıyor. Güvenlik uzmanlarının bildirdiği şey budur. İlk gözlemler Şubat 2024'te yapıldı, Haziran ayından itibaren faaliyetler önemli ölçüde arttı. Cloudflare'in tünel özelliği, Cloudflare ile bir web sunucusu arasındaki, saldırganların yararlanabileceği veri trafiğini şifrelemenize ve iletmenize olanak tanır.
Duyuru
TryCloudflare tünellerini kullanan kötü amaçlı yazılım. Bunlar AsyncRAT, RemcosRAT, VenomRAT ve XWorm'u içerir
(Resim: Kanıt Noktası)
Proofpoint ve Esentinel'deki güvenlik uzmanlarına göre suçlular, kötü amaçlı içerik barındırmak ve oradan kurbanlarının sistemlerine erişmek için Cloudflare tünellerini kullanıyor. Öncelikle test ve gösterim amaçlı bir hizmet olan “TryCloudflare”, bir hesap kaydetmeden bu tür tüneller oluşturmanıza olanak tanır. Trafik Cloudflare üzerinden yönlendirildiği için kötü amaçlı etkinlikleri tespit etmek ve engellemek zordur, bu da verilere ve kaynaklara uzaktan erişmeyi kolaylaştırır. Ayrıca Cloudflare geçici örnekleri, yardımcı komut dosyası saldırıları başlatmanın kolay bir yoludur. Bu şekilde saldırganlar statik kara listelerden de kaçınacaktır.
Kimlik avı yoluyla erişim
Proofpoint, kötü amaçlı yazılımı yaymak için kimlik avı tuzaklarının İngilizce, Fransızca, İspanyolca ve Almanca yazıldığını yazıyor. Suçlular şirketlere fatura, belge talepleri ve paket teslimatı gibi görünen yüzlerce ila on binlerce mesaj gönderiyor.
Faturalarda kimlik avı e-postaları
(Resim: Kanıt Noktası)
İlk saldırı vektörü, LNK bağlantı dosyasını içeren ZIP arşivine sahip bir kimlik avı e-postasıdır. Bu bir TryCloudflare WebDAV sunucusunda barındırılmaktadır. LNK dosyasına tıkladıktan sonra, Python komut dosyalarını getiren ve çalıştıran bir toplu komut dosyası çalıştırılır.
Saldırılar genellikle URL veya ek içeren e-postalarla başlar. Güvenlik araştırmacılarına göre bunlara tıklamak, örneğin LNK bağlantı dosyalarını indirmek için harici dosya paylaşımlarına bağlantılar oluşturur.
(Resim: Kanıt Noktası)
Kamuflaj amacıyla PDF belgeleri de aynı WebDAV sunucusunda oluşturulur. Güvenlik izleme araçlarını atlamanın bir yolu doğrudan sistem çağrıları yapmaktır.
Araştırmacılara göre Cloudflare tünellerinin yanlış kullanımı veri kaybına, operasyonel aksamalara ve mali hasara neden olabilir. Kendilerini bu tür saldırılara karşı korumak için şirketlerin ve kullanıcıların her şeyden önce şüpheli etkinlikleri erken tespit etmek amacıyla veri trafiğini gözlemlemeleri gerekiyor.
(Mac)
Duyuru
TryCloudflare tünellerini kullanan kötü amaçlı yazılım. Bunlar AsyncRAT, RemcosRAT, VenomRAT ve XWorm'u içerir
(Resim: Kanıt Noktası)
Proofpoint ve Esentinel'deki güvenlik uzmanlarına göre suçlular, kötü amaçlı içerik barındırmak ve oradan kurbanlarının sistemlerine erişmek için Cloudflare tünellerini kullanıyor. Öncelikle test ve gösterim amaçlı bir hizmet olan “TryCloudflare”, bir hesap kaydetmeden bu tür tüneller oluşturmanıza olanak tanır. Trafik Cloudflare üzerinden yönlendirildiği için kötü amaçlı etkinlikleri tespit etmek ve engellemek zordur, bu da verilere ve kaynaklara uzaktan erişmeyi kolaylaştırır. Ayrıca Cloudflare geçici örnekleri, yardımcı komut dosyası saldırıları başlatmanın kolay bir yoludur. Bu şekilde saldırganlar statik kara listelerden de kaçınacaktır.
Kimlik avı yoluyla erişim
Proofpoint, kötü amaçlı yazılımı yaymak için kimlik avı tuzaklarının İngilizce, Fransızca, İspanyolca ve Almanca yazıldığını yazıyor. Suçlular şirketlere fatura, belge talepleri ve paket teslimatı gibi görünen yüzlerce ila on binlerce mesaj gönderiyor.
Faturalarda kimlik avı e-postaları
(Resim: Kanıt Noktası)
İlk saldırı vektörü, LNK bağlantı dosyasını içeren ZIP arşivine sahip bir kimlik avı e-postasıdır. Bu bir TryCloudflare WebDAV sunucusunda barındırılmaktadır. LNK dosyasına tıkladıktan sonra, Python komut dosyalarını getiren ve çalıştıran bir toplu komut dosyası çalıştırılır.
Saldırılar genellikle URL veya ek içeren e-postalarla başlar. Güvenlik araştırmacılarına göre bunlara tıklamak, örneğin LNK bağlantı dosyalarını indirmek için harici dosya paylaşımlarına bağlantılar oluşturur.
(Resim: Kanıt Noktası)
Kamuflaj amacıyla PDF belgeleri de aynı WebDAV sunucusunda oluşturulur. Güvenlik izleme araçlarını atlamanın bir yolu doğrudan sistem çağrıları yapmaktır.
Araştırmacılara göre Cloudflare tünellerinin yanlış kullanımı veri kaybına, operasyonel aksamalara ve mali hasara neden olabilir. Kendilerini bu tür saldırılara karşı korumak için şirketlerin ve kullanıcıların her şeyden önce şüpheli etkinlikleri erken tespit etmek amacıyla veri trafiğini gözlemlemeleri gerekiyor.
(Mac)