Er is waargenomen dat de bedreigingsacteur die bekend staat als Gamaredon gebruik maakt van Cloudflare Tunnels als een tactiek om zijn staging-infrastructuur te verbergen die een malware herbergt genaamd GammaDrop.
De activiteit maakt deel uit van een voortdurende spearphishing-campagne gericht op Oekraïense entiteiten sinds ten minste begin 2024, die is ontworpen om de Visual Basic Script-malware te verwijderen, aldus de Insikt Group van Recorded Future in een nieuwe analyse.
Het cyberbeveiligingsbedrijf volgt de bedreigingsactor onder de naam BlueAlpha, ook bekend als Aqua Blizzard, Armageddon, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530 en Winterflounder. De groep, vermoedelijk actief sinds 2014, is aangesloten bij de Russische Federale Veiligheidsdienst (FSB).
“BlueAlpha is onlangs begonnen met het gebruik van Cloudflare Tunnels om de staging-infrastructuur te verbergen die wordt gebruikt door GammaDrop, een steeds populairder wordende techniek die door cybercriminele dreigingsgroepen wordt gebruikt om malware in te zetten”, aldus Insikt Group.
“BlueAlpha blijft gebruik maken van het snelle domeinnaamsysteem (DNS) van de GammaLoad command-and-control (C2)-infrastructuur om het volgen en verstoren van C2-communicatie te compliceren om de toegang tot gecompromitteerde systemen te behouden.”
Het gebruik van Cloudflare Tunnel door de tegenstander werd eerder in september 2024 gedocumenteerd door het Slowaakse cyberbeveiligingsbedrijf ESET, als onderdeel van aanvallen gericht op Oekraïne en verschillende NAVO-landen, namelijk Bulgarije, Letland, Litouwen en Polen.
Het typeerde het vakmanschap van de bedreigingsactoren ook als roekeloos en niet bijzonder gericht op stealth, ook al doen ze er alles aan om “te voorkomen dat ze worden geblokkeerd door beveiligingsproducten en heel hard hun best te doen om de toegang tot gecompromitteerde systemen te behouden.”
“Gamaredon probeert zijn toegang te behouden door meerdere eenvoudige downloaders of backdoors tegelijkertijd in te zetten”, aldus ESET. “Het gebrek aan verfijning van Gamaredon-tools wordt gecompenseerd door frequente updates en het gebruik van regelmatig veranderende verduistering.”
De tools zijn voornamelijk ontworpen om waardevolle gegevens te stelen van webapplicaties die in internetbrowsers, e-mailclients en instant messaging-applicaties zoals Signal en Telegram draaien, maar ook om extra payloads te downloaden en de malware te verspreiden via aangesloten USB-drives.
- PteroPSLoad, PteroX, PteroSand, PteroDash, PteroRisk en PteroPowder – Payloads downloaden
- PteroCDrop – Laat Visual Basic Script-payloads vallen
- PteroClone – Lever payloads met behulp van het hulpprogramma rclone
- PteroLNK – Bewapen aangesloten USB-drives
- PteroDig – Bewapen LNK-bestanden in de map Desktop voor persistentie
- PteroSocks – Bied gedeeltelijke SOCKS-proxyfunctionaliteit
- PteroPShell, ReVBShell – Functioneert als een externe shell
- PteroPSDoor, PteroVDoor – Exfiltreer specifieke bestanden uit het bestandssysteem
- PteroScreen – Schermafbeeldingen vastleggen en exfiltreren
- PteroSteal – Exfiltreer inloggegevens die zijn opgeslagen door webbrowsers
- PteroCookie – Exfiltreert cookies die zijn opgeslagen door webbrowsers
- PteroSig – Exfiltreer gegevens die zijn opgeslagen door de Signal-applicatie
- PteroGram – Exfiltreer gegevens die zijn opgeslagen door de Telegram-applicatie
- PteroBleed – Exfiltreer gegevens die zijn opgeslagen door webversies van Telegram en WhatsApp van Google Chrome, Microsoft Edge en Opera
- PteroScout – Exfiltreer systeeminformatie
De nieuwste reeks aanvallen die door Recorded Future worden benadrukt, omvat het verzenden van phishing-e-mails met HTML-bijlagen, waarbij gebruik wordt gemaakt van een techniek die HTML-smokkel wordt genoemd om het infectieproces te activeren via ingebedde JavaScript-code.
Wanneer de HTML-bijlagen worden geopend, wordt er een 7-Zip-archief (“56-27-11875.rar”) neergezet dat een kwaadaardig LNK-bestand bevat, dat gebruik maakt van mshta.exe om GammaDrop af te leveren, een HTA-dropper die verantwoordelijk is voor het schrijven naar schijf een aangepaste lader genaamd GammaLoad, die vervolgens contact maakt met een C2-server om aanvullende malware op te halen.
Het GammaDrop-artefact wordt opgehaald van een staging-server die zich achter een Cloudflare-tunnel bevindt, gehost op het domein amsterdam-sheet-veteran-aka.trycloudflare(.)com.
GammaLoad maakt op zijn beurt gebruik van DNS-over-HTTPS (DoH)-providers zoals Google en Cloudflare om de C2-infrastructuur op te lossen wanneer traditionele DNS faalt. Het maakt ook gebruik van een fast-flux DNS-techniek om het C2-adres op te halen als de eerste poging om met de server te communiceren mislukt.
“BlueAlpha zal waarschijnlijk doorgaan met het verfijnen van ontwijkingstechnieken door gebruik te maken van veelgebruikte, legitieme diensten zoals Cloudflare, waardoor detectie voor traditionele beveiligingssystemen wordt bemoeilijkt”, aldus Recorded Future.
“Voortdurende verbeteringen aan HTML-smokkel en op DNS gebaseerde persistentie zullen waarschijnlijk nieuwe uitdagingen met zich meebrengen, vooral voor organisaties met beperkte mogelijkheden voor het detecteren van bedreigingen.”
