Cloudflare Tunnel を悪用したマルウェア・キャンペーンが展開されている – Proofpoint

Hackers abuse free TryCloudflare to deliver remote access malware

2024/08/01 BleepingComputer — Cloudflare Tunnel サービスを悪用して RAT (Remote Access Trojans) を配信する、マルウェア・キャンペーンの拡大について、研究者たちが警告を発している。このサイバー犯罪活動は、2024年2月に検出されたものであり、TryCloudflare の無料サービスを悪用することで、AsyncRAT／GuLoader／VenomRAT／Remcos RAT／Xworm などの複数の RAT を配布している。

Cloudflare Tunnel は、IP アドレスを公開することなく、暗号化されたトンネルを経由してトラフィックをプロキシし、インターネット上のローカル・サービスやサーバへのアクセスを可能にするものだ。パブリックなインバウンド・ポートの開設や、VPN 接続の設定などが不要なため、セキュリティと利便性が向上する。

TryCloudflare を使用するユーザーは、ローカル・サーバへの一時的なトンネルを作成し、Cloudflare アカウントを持たなくてもサービスをテストできる。

Cloudflare ネットワークを介して、トラフィックをローカル・サーバへとルーティングするために使用される各トンネルは、”trycloudflare.com” ドメイン上に一時的かつランダムなサブドメインを生成する。

過去においても、この機能を悪用する脅威アクターが、侵害したシステムへのリモート・アクセスを、検知を回避しながら獲得している。

最新のキャンペーン

サイバーセキュリティ企業の Proofpoint は、8月1日に公開したレポートで、法律／金融／製造／技術組織を標的とするマルウェア活動を観測したが、そこでは、合法的な TryCloudflare ドメインでホストされる、悪意の .LNK ファイルが使用されたと指摘している。

脅威アクターたちは、納税をテーマにした電子メールで標的を誘い込んでいるが、そこには、LNK ペイロードにつながる URL または添付ファイルが埋め込まれている。そして、それらのペイロードが起動すると、PowerShell を展開するための BAT／CMD スクリプトが実行される。

攻撃の最終的な段階では、メインのペイロードのための、Python インストーラーがダウンロードされる。

Proofpoint によると、7月11日に開始された電子メール配信の波では、1,500通を超える悪意のメッセージが配信されたが、5月28日に開始された以前の攻撃の波では、50通にも満たなかったという。

Cloudflare で LNK ファイルをホスティングすると、サービスの評判によりトラフィックが合法的に見えるなど、いくつかの利点が脅威アクターたちに生じる。

さらに、TryCloudflareトンネル機能は匿名性を提供し、LNK を提供するサブドメインは一時的なものであるため、ブロックしても防御にはあまり役立たない。

結局のところ、この無料のサービスは信頼性が高いため、サイバー犯罪者は独自のインフラを構築するコストを負担する必要がなくなる。Cloudflare からのブロックを回避するための自動化が採用された場合には、大規模なオペレーションを仕掛けるサイバー犯罪者たちであっても、それらのトンネルを悪用できる。

Proofpoint が報告した活動について、BleepingComputer から Cloudflare にコメントを求めたところ、「Proofpoint などのセキュリティ・ベンダーが、疑わしいURL を提出することを奨励している。当社のサービスを悪用して、マルウェアを展開するユーザー対しては措置を講じる予定だ」という回答があった。

現時点でも Cloudflare は、悪意のトンネルが同社のチームにより発見されたな合いは、サードパーティから報告された場合には、即座に無効化し、削除している。

ここ数年、Cloudflare は、発生する可能性のある悪質な活動をより適切に封じ込めるため、当社のトンネル製品に機械学習による検出を導入している。

Cloudflare のサービスが悪用されるケースですが、関連ポストとして 2024/07/22 の「Cloudflare WARP トラフィックへの信頼：regreSSHion CVE-2024-6387 を悪用するシナリオ」もあります。よろしければ、Cloudflare で検索と併せて、ご参照ください。