情資機構Recorded Future的Insikt小組最新報告指出,俄羅斯政府支持的進階持續性威脅(APT)組織BlueAlpha正濫用Cloudflare Tunnels服務,散播BlueAlpha專有的GammaDrop惡意程式。
根據Insikt近日發布的分析報告,BlueAlpha利用Cloudflare提供的免費TryCloudflare工具,建立隱匿的惡意程式中繼基礎設施。該工具允許使用者透過trycloudflare.com的隨機子域名創建隧道,所有請求都會經由Cloudflare網路代理至目標主機。
Cloudflare Tunnels原本是用來保護網路伺服器和應用程式免受DDoS等直接網路攻擊,方法是隱藏其來源IP位址。然而,這項合法的隱藏機制卻被BlueAlpha濫用,使其GammaDrop惡意程式的中繼基礎設施能夠躲避傳統的網路偵測機制。
研究人員表示,該組織利用隱藏的基礎設施發動HTML走私攻擊,繞過電子郵件安全系統,並採用DNS快速流動技術,使其命令與控制(C2)通訊更難被中斷。最終目的是部署GammaDrop惡意程式,該程式具有資料竊取、憑證盜用和後門存取等功能。
BlueAlpha自2014年首次出現,與其他俄羅斯威脅組織如Trident Ursa、Gamaredon、Shuckworm和Hive0051有關聯。近期該組織主要透過魚叉式釣魚攻擊鎖定烏克蘭組織為目標。自2023年10月以來,該組織開始使用客製化的VBScript惡意程式GammaLoad。
Insikt小組建議採取多項防護措施,包括加強電子郵件安全以阻擋HTML走私技術、標記具可疑HTML事件的附件、使用應用程式控制政策阻擋惡意使用mshta.exe和不信任的.lnk檔案,以及設置網路規則以標記對trycloudflare.com子域名的請求。
企業用戶應密切關注此類新興攻擊手法,並確實執行相關防護措施,以降低遭受攻擊的風險。
相關文章:多家依賴 CDN 業者提供 WAF 服務的企業用戶因設定不當暴露於資安威脅
本文轉載自darkreading。