>
Research (Insikt)

BlueAlpha missbraucht den Cloudflare-Tunneling-Dienst für die GammaDrop-Staging-Infrastruktur

Veröffentlicht: 5. Dezember 2024
Von: Insikt Group®

insikt-group-logo-aktualisiert-3-300x48.png

Zusammenfassung

BlueAlpha ist eine vom Staat gesponserte Cyber-Bedrohungsgruppe, die unter der Leitung des russischen Föderalen Sicherheitsdienstes (FSB) operiert und sich mit den öffentlich bekannten Gruppen Gamaredon, Shuckworm, Hive0051 und UNC530 überschneidet. BlueAlpha ist mindestens seit 2014 aktiv und setzt seine gnadenlosen Spear-Phishing-Kampagnen fort, um ukrainische Organisationen mit maßgeschneiderter Schadsoftware anzugreifen. Seit mindestens Oktober 2023 hat BlueAlpha die benutzerdefinierte VBScript-Malware GammaLoad bereitgestellt, die Datenexfiltration, Diebstahl von Anmeldeinformationen und dauerhaften Zugriff auf kompromittierte Netzwerke ermöglicht.

BlueAlpha missbraucht den Cloudflare-Tunneling-Dienst für die GammaDrop-Staging-Infrastruktur

BlueAlpha hat kürzlich seine Malware-Lieferkette weiterentwickelt und nutzt jetzt Cloudflare-Tunnel, um GammaDrop-Malware zu inszenieren. Dabei handelt es sich um eine von cyberkriminellen Bedrohungsgruppen populär gemachte Taktik zur Bereitstellung von Malware.

Wichtige Erkenntnisse:

  1. BlueAlpha nutzt Cloudflare-Tunnel, um seine GammaDrop-Staging-Infrastruktur zu verbergen und traditionelle Netzwerkerkennungsmechanismen zu umgehen.
  2. Die Gruppe liefert Malware durch HTML-Schmuggel aus und nutzt dabei ausgeklügelte Techniken, um E-Mail-Sicherheitssysteme zu umgehen.
  3. DNS-Fastfluxing erschwert die Bemühungen, die Command-and-Control-Kommunikation (C2) zu verfolgen und zu stören.

Wie BlueAlpha Cloudflare-Tunnel ausnutzt

Cloudflare bietet den Tunneling-Dienst kostenlos mit dem Tool TryCloudflare an. Das Tool ermöglicht es jedem, einen Tunnel mit einer zufällig generierten Subdomain von trycloudflare.com zu erstellen und alle Anfragen an diese Subdomain über das Cloudflare-Netzwerk an den Webserver weiterzuleiten, der auf diesem Host läuft. BlueAlpha nutzt dies, um die Staging-Infrastruktur zu verschleiern, die zur Bereitstellung von GammaDrop verwendet wird.

HTML-Schmuggel

HTML-Schmuggel ermöglicht die Bereitstellung von Malware durch eingebettetes JavaScript in HTML-Anhängen. BlueAlpha hat diese Methode durch subtile Anpassungen verfeinert, um eine Erkennung zu vermeiden. Aktuelle Proben zeigen Änderungen in den Deobfuskationsmethoden, wie die Verwendung des onerror HTML-Ereignisses zur Ausführung von schädlichem Code.

GammaDrop und GammaLoad Malware

Die Malware-Suite von BlueAlpha ist zentral für diese Kampagnen:

  • GammaDrop: fungiert als Dropper, schreibt GammaLoad auf die Festplatte und stellt die Persistenz sicher
  • GammaLoad: ein benutzerdefinierter Lader, der in der Lage ist, mit seinem C2 zu kommunizieren und zusätzliche Malware auszuführen

BlueAlpha verwendet Verschleierungstechniken, nämlich umfangreiche Mengen an Junk-Code und zufällige Variablennamen, um die Analyse zu erschweren.

Minderungsstrategien

  1. Verbessern Sie die E-Mail-Sicherheit: Implementieren Sie Lösungen zur Überprüfung und Blockierung von HTML-Schmuggeltechniken. Kennzeichnen Sie Anhänge mit verdächtigen HTML-Ereignissen wie onerror.
  2. Schränken Sie die Ausführung bösartiger Dateien ein: Implementieren Sie Anwendungssteuerungsrichtlinien, um die böswillige Nutzung von mshta.exe und unzuverlässigen .lnk-Dateien zu blockieren.
  3. Netzwerkverkehr überwachen: Richten Sie Regeln ein, um Anfragen an trycloudflare.com-Subdomains und nicht autorisierte DoH-Verbindungen (DNS-over-HTTPS) zu kennzeichnen.
  4. Nutzen Sie Threat Intelligence: Verwenden Sie die Malware-Abwehrlösung von Recorded Future, um verdächtige Dateien zu analysieren und über neue Bedrohungen informiert zu bleiben.

Ausblick

Die fortgesetzte Nutzung legitimer Dienste wie Cloudflare durch BlueAlpha zeigt, dass die Gruppe darauf abzielt, ihre Umgehungstechniken zu verfeinern. Organisationen müssen wachsam bleiben und in fortschrittliche Erkennungs- und Reaktionsfähigkeiten investieren, um diesen ausgeklügelten Bedrohungen entgegenzuwirken.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Anhang A – Indikatoren für eine Gefährdung

Domänen:
else-accommodation-allowing-throws.trycloudflare[.]com
cod-identification-imported-carl.trycloudflare[.]com
amsterdam-sheet-veteran-aka.trycloudflare[.]com
benjamin-unnecessary-mothers-configured.trycloudflare[.]com
longitude-powerpoint-geek-upgrade.trycloudflare[.]com
attribute-homework-generator-lovers.trycloudflare[.]com
infected-gc-rhythm-yu.trycloudflare[.]com

IP-Adressen:
178.130.42[.]94

Hashes:
3afc8955057eb0bae819ead1e7f534f6e5784bbd5b6aa3a08af72e187b157c5b
93aa6cd0787193b4ba5ba6367122dee846c5d18ad77919b261c15ff583b0ca17
b95eea2bee2113b7b5c7af2acf6c6cbde05829fab79ba86694603d4c1f33fdda



Anhang B – Mitre ATT&CK-Techniken

Taktik: Technik ATT&CK-Code
Erster Zugriff: Spearphishing-Anhang T1566.001
Ausführung: Visual Basic T1059.005
Ausführung: JavaScript T1059.007
Ausführung: Bösartige Datei T1204.002
Persistenz: Registry Run Keys / Startup-Ordner T1547.001
Umgehung der Verteidigung: HTML-Schmuggel T1027.006
Umgehung der Verteidigung: Verschlüsselte/kodierte Datei T1027.013
Befehls- und Kontrollsystem: Web-Protokolle T1071.001
Command-and-Control: Fast Flux DNS T1568.001

Verwandt