BlueAlpha missbraucht den Cloudflare-Tunneling-Dienst für die GammaDrop-Staging-Infrastruktur
Zusammenfassung
BlueAlpha ist eine vom Staat gesponserte Cyber-Bedrohungsgruppe, die unter der Leitung des russischen Föderalen Sicherheitsdienstes (FSB) operiert und sich mit den öffentlich bekannten Gruppen Gamaredon, Shuckworm, Hive0051 und UNC530 überschneidet. BlueAlpha ist mindestens seit 2014 aktiv und setzt seine gnadenlosen Spear-Phishing-Kampagnen fort, um ukrainische Organisationen mit maßgeschneiderter Schadsoftware anzugreifen. Seit mindestens Oktober 2023 hat BlueAlpha die benutzerdefinierte VBScript-Malware GammaLoad bereitgestellt, die Datenexfiltration, Diebstahl von Anmeldeinformationen und dauerhaften Zugriff auf kompromittierte Netzwerke ermöglicht.
BlueAlpha missbraucht den Cloudflare-Tunneling-Dienst für die GammaDrop-Staging-Infrastruktur
BlueAlpha hat kürzlich seine Malware-Lieferkette weiterentwickelt und nutzt jetzt Cloudflare-Tunnel, um GammaDrop-Malware zu inszenieren. Dabei handelt es sich um eine von cyberkriminellen Bedrohungsgruppen populär gemachte Taktik zur Bereitstellung von Malware.
Wichtige Erkenntnisse:
- BlueAlpha nutzt Cloudflare-Tunnel, um seine GammaDrop-Staging-Infrastruktur zu verbergen und traditionelle Netzwerkerkennungsmechanismen zu umgehen.
- Die Gruppe liefert Malware durch HTML-Schmuggel aus und nutzt dabei ausgeklügelte Techniken, um E-Mail-Sicherheitssysteme zu umgehen.
- DNS-Fastfluxing erschwert die Bemühungen, die Command-and-Control-Kommunikation (C2) zu verfolgen und zu stören.
Wie BlueAlpha Cloudflare-Tunnel ausnutzt
Cloudflare bietet den Tunneling-Dienst kostenlos mit dem Tool TryCloudflare an. Das Tool ermöglicht es jedem, einen Tunnel mit einer zufällig generierten Subdomain von trycloudflare.com zu erstellen und alle Anfragen an diese Subdomain über das Cloudflare-Netzwerk an den Webserver weiterzuleiten, der auf diesem Host läuft. BlueAlpha nutzt dies, um die Staging-Infrastruktur zu verschleiern, die zur Bereitstellung von GammaDrop verwendet wird.
HTML-Schmuggel
HTML-Schmuggel ermöglicht die Bereitstellung von Malware durch eingebettetes JavaScript in HTML-Anhängen. BlueAlpha hat diese Methode durch subtile Anpassungen verfeinert, um eine Erkennung zu vermeiden. Aktuelle Proben zeigen Änderungen in den Deobfuskationsmethoden, wie die Verwendung des onerror HTML-Ereignisses zur Ausführung von schädlichem Code.
GammaDrop und GammaLoad Malware
Die Malware-Suite von BlueAlpha ist zentral für diese Kampagnen:
- GammaDrop: fungiert als Dropper, schreibt GammaLoad auf die Festplatte und stellt die Persistenz sicher
- GammaLoad: ein benutzerdefinierter Lader, der in der Lage ist, mit seinem C2 zu kommunizieren und zusätzliche Malware auszuführen
BlueAlpha verwendet Verschleierungstechniken, nämlich umfangreiche Mengen an Junk-Code und zufällige Variablennamen, um die Analyse zu erschweren.
Minderungsstrategien
- Verbessern Sie die E-Mail-Sicherheit: Implementieren Sie Lösungen zur Überprüfung und Blockierung von HTML-Schmuggeltechniken. Kennzeichnen Sie Anhänge mit verdächtigen HTML-Ereignissen wie onerror.
- Schränken Sie die Ausführung bösartiger Dateien ein: Implementieren Sie Anwendungssteuerungsrichtlinien, um die böswillige Nutzung von mshta.exe und unzuverlässigen .lnk-Dateien zu blockieren.
- Netzwerkverkehr überwachen: Richten Sie Regeln ein, um Anfragen an trycloudflare.com-Subdomains und nicht autorisierte DoH-Verbindungen (DNS-over-HTTPS) zu kennzeichnen.
- Nutzen Sie Threat Intelligence: Verwenden Sie die Malware-Abwehrlösung von Recorded Future, um verdächtige Dateien zu analysieren und über neue Bedrohungen informiert zu bleiben.
Ausblick
Die fortgesetzte Nutzung legitimer Dienste wie Cloudflare durch BlueAlpha zeigt, dass die Gruppe darauf abzielt, ihre Umgehungstechniken zu verfeinern. Organisationen müssen wachsam bleiben und in fortschrittliche Erkennungs- und Reaktionsfähigkeiten investieren, um diesen ausgeklügelten Bedrohungen entgegenzuwirken.
Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Anhang A – Indikatoren für eine Gefährdung
|
Domänen: else-accommodation-allowing-throws.trycloudflare[.]com cod-identification-imported-carl.trycloudflare[.]com amsterdam-sheet-veteran-aka.trycloudflare[.]com benjamin-unnecessary-mothers-configured.trycloudflare[.]com longitude-powerpoint-geek-upgrade.trycloudflare[.]com attribute-homework-generator-lovers.trycloudflare[.]com infected-gc-rhythm-yu.trycloudflare[.]com IP-Adressen: 178.130.42[.]94 Hashes: 3afc8955057eb0bae819ead1e7f534f6e5784bbd5b6aa3a08af72e187b157c5b 93aa6cd0787193b4ba5ba6367122dee846c5d18ad77919b261c15ff583b0ca17 b95eea2bee2113b7b5c7af2acf6c6cbde05829fab79ba86694603d4c1f33fdda |
Anhang B – Mitre ATT&CK-Techniken
| Taktik: Technik | ATT&CK-Code |
| Erster Zugriff: Spearphishing-Anhang | T1566.001 |
| Ausführung: Visual Basic | T1059.005 |
| Ausführung: JavaScript | T1059.007 |
| Ausführung: Bösartige Datei | T1204.002 |
| Persistenz: Registry Run Keys / Startup-Ordner | T1547.001 |
| Umgehung der Verteidigung: HTML-Schmuggel | T1027.006 |
| Umgehung der Verteidigung: Verschlüsselte/kodierte Datei | T1027.013 |
| Befehls- und Kontrollsystem: Web-Protokolle | T1071.001 |
| Command-and-Control: Fast Flux DNS | T1568.001 |
Verwandt