В мире кибербезопасности наблюдается тревожная тенденция: злоумышленники все чаще используют легитимные сервисы для распространения вредоносного ПО. Последние исследования компании Proofpoint выявили, что функционал Cloudflare Tunnel стал популярным инструментом среди киберпреступников для распространения троянов удаленного доступа (RAT).
Как работает Cloudflare Tunnel и почему он привлекателен для хакеров
Cloudflare Tunnel — это сервис, позволяющий создавать зашифрованные туннели для доступа к локальным серверам через интернет без раскрытия IP-адресов. Особый интерес для злоумышленников представляет бесплатная версия TryCloudflare, которая генерирует временные поддомены на trycloudflare.com для маршрутизации трафика.
Преимущества использования Cloudflare Tunnel для киберпреступников включают:
- Маскировка вредоносного трафика под легитимный благодаря репутации Cloudflare
- Анонимность из-за особенностей работы сервиса
- Временный характер поддоменов, затрудняющий их блокировку
- Бесплатность и надежность инфраструктуры
Масштабы и механизм атак
По данным Proofpoint, с февраля 2023 года наблюдается рост активности киберпреступников, использующих Cloudflare Tunnel. Исследователи зафиксировали массовые рассылки вредоносных писем, направленных на юридические, финансовые, производственные и технологические организации.
Типичный сценарий атаки выглядит следующим образом:
- Рассылка фишинговых писем, якобы связанных с налоговой тематикой
- Включение в письма URL-адресов или вложений, ведущих на вредоносные файлы .LNK
- Запуск BAT- или CMD-скрипта при открытии файла .LNK
- Развертывание PowerShell и загрузка инсталляторов Python
- Установка финальной вредоносной нагрузки (RAT)
Среди распространяемых троянов удаленного доступа отмечены AsyncRAT, GuLoader, VenomRAT, Remcos RAT и Xworm.
Реакция Cloudflare и критика со стороны экспертов
Представители Cloudflare заявили о немедленном отключении и удалении вредоносных туннелей при их обнаружении. Компания также сообщила о внедрении машинного обучения для лучшего выявления подозрительной активности.
Однако эксперты из некоммерческой организации Spamhaus подвергли критике действия Cloudflare. По их данным, около 10% ресурсов из черного списка Spamhaus используют сервисы Cloudflare для защиты. Специалисты утверждают, что компания недостаточно активно борется с злоупотреблениями своей инфраструктурой.
В ответ Cloudflare заявила о наличии всестороннего процесса информирования о злоупотреблениях и выразила несогласие с позицией Spamhaus. Компания подчеркнула, что простое отключение пользователей не решит проблему, так как это лишь отключит защитные сервисы, но не удалит вредоносный контент.
Ситуация с злоупотреблением Cloudflare Tunnel подчеркивает растущую проблему использования легитимных сервисов киберпреступниками. Это требует от компаний-провайдеров более тщательного мониторинга и оперативного реагирования на подозрительную активность. Пользователям же следует проявлять повышенную бдительность при работе с электронной почтой и незнакомыми ссылками, даже если они ведут на известные домены.