Hacker ใช้ free TryCloudflare เพื่อส่ง RAT ไปยังเป้าหมาย

Hacker ใช้ free TryCloudflare เพื่อส่ง RAT ไปยังเป้าหมาย

นักวิจัยแจ้งเตือนการค้นพบกลุ่ม Hacker กำลังใช้ Cloudflare Tunnel service ในแคมเปญการโจมตีที่จะส่ง remote access trojans (RATs) ไปยังเป้าหมาย

แคมเปญการโจมตีดังกล่าวถูกพบครั้งแรกในเดือนกุมภาพันธ์ 2024 โดยใช้ TryCloudflare free service ในการส่ง RAT ไปยังเป้าหมาย ซึ่งมีหลายชนิด เช่น AsyncRAT, GuLoader, VenomRAT, Remcos RAT และ Xworm

Cloudflare Tunnel service อนุญาตให้ใช้ proxy ในการรับส่งข้อมูลผ่าน encrypted tunnel เพื่อเข้าถึงบริการ และ local server ผ่านทางอินเทอร์เน็ตโดยไม่เปิดเผย IP addresses ซึ่งทำให้มีความปลอดภัยเพิ่มขึ้น เนื่องจากไม่จำเป็นต้องเปิด public inbound port หรือมีการเชื่อมต่อผ่าน VPN

TryCloudflare ทำให้ผู้ใช้งานสามารถสร้าง tunnels ชั่วคราว ไปยัง local server และระบบ test โดยไม่จำเป็นต้องมีบัญชี Cloudflare ซึ่งแต่ละ tunnels จะสร้างโดเมนย่อยแบบสุ่มชั่วคราวบนโดเมน trycloudflare.com ซึ่งใช้ในการกำหนดเส้นทางการรับส่งข้อมูลผ่านเครือข่ายของ Cloudflare ไปยัง local server

โดยก่อนหน้านี้ในเดือนสิงหาคม 2023 พบการใช้เทคนิคดังกล่าว เพื่อเข้าถึงระบบของเป้าหมายที่ถูกโจมตีจากระยะไกล รวมถึงใช้ในการหลบเลี่ยงการตรวจจับ

แคมเปญการโจมตีล่าสุด

Proofpoint บริษัทด้านความปลอดภัยทางไซเบอร์รายงานว่า ตรวจพบการโจมตีที่มุ่งเป้าหมายไปยังองค์กรด้านกฎหมาย, การเงิน, การผลิต และเทคโนโลยี ด้วย .LNK file ที่เป็นอันตราย ซึ่งโฮสต์อยู่บนโดเมน TryCloudflare โดยพบว่า Hacker ได้หลอกลวงเป้าหมายด้วยการส่งอีเมล์ที่มีเนื้อหาเกี่ยวกับภาษี พร้อม URL หรือไฟล์แนบที่นำไปสู่เพย์โหลด .LNK ซึ่งเมื่อเปิดใช้งาน เพย์โหลดจะทำการเรียกใช้สคริปต์ BAT หรือ CMD เพื่อเรียกใช้คำสั่ง PowerShell

ในขั้นตอนสุดท้ายของการโจมตี Python installers จะถูกดาวน์โหลดเพื่อติดตั้งบนเครื่องเป้าหมาย

Proofpoint รายงานว่าพบการส่งอีเมลระลอกล่าสุดในวันที่ 11 กรกฎาคม 2024 ซึ่งได้ส่งอีเมลอันตรายไปแล้วกว่า 1,500 ข้อความ ในขณะที่ระลอกก่อนหน้านี้เมื่อวันที่ 28 พฤษภาคม 2024 มีการส่งอีเมลอันตรายน้อยกว่า 50 ข้อความ

ทั้งนี้การโฮสต์ LNK files บน Cloudflare มีประโยชน์หลายประการ รวมถึงทำให้การรับส่งข้อมูลดูมีความน่าเชื่อเนื่องจากมาจาก Cloudflare

นอกจากนี้คุณสมบัติ TryCloudflare Tunnel ยังมีความสามารถในการไม่เปิดเผยตัวตน และโดเมนย่อยที่ให้บริการ LNK นั้นเป็นแบบชั่วคราว ทำให้การบล็อกโดเมนย่อยเหล่านี้จึงไม่ช่วยในเรื่องการป้องกันเท่าไหร่

รวมถึง TryCloudflare Tunnel เป็นบริการฟรี และมีความน่าเชื่อถือ ทำให้ Hacker ไม่มีจำเป็นต้องมีค่าใช้จ่ายในการตั้งค่าโครงสร้างพื้นฐานของตนเอง และสามารถใช้ระบบอัตโนมัติจาก TryCloudflare เพื่อหลีกเลี่ยงการบล็อกจาก Cloudflare ได้อีกด้วย

ทั้งนี้ Cloudflare ระบุว่าจะทำการปิด และลบ Tunnel ที่เป็นอันตรายทันทีเมื่อทีมงานของ Cloudflare ตรวจพบ หรือเมื่อบุคคลภายนอกรายงานการโจมตีเข้ามา

ที่มา : bleepingcomputer