Дослідники з компанії Proofpoint виявили тривожну тенденцію: кіберзлочинці все частіше зловживають функціоналом Cloudflare Tunnel для поширення шкідливого програмного забезпечення. Ця активність, вперше помічена в лютому 2023 року, викликає серйозне занепокоєння в експертів з кібербезпеки.
Механізм атак через Cloudflare Tunnel
Cloudflare Tunnel – це популярний сервіс, що дозволяє створювати зашифровані тунелі для доступу до локальних служб через інтернет без розкриття IP-адрес. Зловмисники використовують безкоштовну послугу TryCloudflare для створення тимчасових тунелів, через які поширюють різноманітні трояни віддаленого доступу (RAT), включаючи AsyncRAT, GuLoader, VenomRAT, Remcos RAT та Xworm.
Етапи атаки
Типова атака починається з розсилки фішингових листів, замаскованих під повідомлення про податки. Листи містять посилання або вкладення, що ведуть до шкідливих файлів формату .LNK, розміщених на домені TryCloudflare. При відкритті файл .LNK запускає BAT- або CMD-скрипт, який розгортає PowerShell для завантаження інсталяторів Python та кінцевого шкідливого навантаження.
Масштаби та переваги для зловмисників
За даними Proofpoint, лише одна хвиля розсилки від 11 липня 2023 року містила понад 1500 шкідливих листів. Використання інфраструктури Cloudflare надає атакуючим низку переваг:
- Маскування трафіку під легітимний завдяки репутації сервісу
- Анонімність через функціонал TryCloudflare
- Складність блокування через тимчасовий характер піддоменів
- Безкоштовність та надійність сервісу
Реакція Cloudflare та критика з боку Spamhaus
Представники Cloudflare заявили про негайне відключення виявлених шкідливих тунелів та впровадження машинного навчання для кращого виявлення зловмисної активності. Однак некомерційна організація Spamhaus звинуватила компанію у бездіяльності, стверджуючи, що близько 10% ресурсів з їхнього чорного списку використовують сервіси Cloudflare для захисту.
Ситуація, що склалася, демонструє складність балансування між наданням корисних послуг та запобіганням їх зловживанню. Це підкреслює необхідність постійного вдосконалення систем безпеки та тіснішої співпраці між технологічними компаніями та експертами з кібербезпеки для ефективної протидії сучасним кіберзагрозам.