Astaroth Malware intervient sur les travailleurs de Cloudflare pour échapper à la détection
Dans des nouvelles récentes, un rapport publié sur la propagation Astaroth , un programme malveillant sans fichiers qui affectait les utilisateurs, a attiré attention de la communauté de la sécurité Internet. Cette menace concernait des outils système utilisant une chaîne attachement complexe qui ne faisait appel à aucun exécutable pour effectuer ses actions en secret.
Après le rapport publié, le groupe derrière les actions de la campagne Astaroth a décidé de changer de tactique . Plus précisément, ils ont ensuite utilisé Cloudflare Workers pour poursuivre leur campagne en tentant esquiver la détection. Le processus est déroulé en plusieurs étapes, comme expliqué ci-dessous.
Table des matières
Première étape
Les acteurs de la campagne ont commencé leur travail en utilisant un schéma classique d’ingénierie sociale. Ce q ils ont fait, est envoyer un message qui ressemble aux réponses automatiques habituelles par courrier électronique que les organisations reçoivent pour leurs demandes de facturation ou audit. Une pièce jointe HTML a également été utilisée, qui essaie pas de cacher q il agit bien un fichier HTML. C’est maintenant un simple cas d’utilisation de HTML, car il est spécifiquement créé pour masquer et contenir un code Javascript.
Il commence par une simple chaîne Base64 vers la fonction ArrayBuffer, suivie de URL codée en Base64 utilisée pour exécuter la prochaine étape de attaque. La troisième section est utilisée pour générer un objet blob dans la mémoire du navigateur à partir de URL et le télécharger dans la session du navigateur. Il existe des sections de remplissage du fichier qui ne contribuent pas au processus.
En utilisant Cloudflare, les acteurs du traitement ajoutent une couche de sécurité où les outils d’analyse automatisés ou les bacs à sable recevraient la page de défi, plutôt que la charge utile réelle d’Astaroth. La géolocalisation IP Cloudflare ajoute un en-tête appelé "CF-IPCountry" à toutes les demandes sortant des machines infectées vers le serveur hôte. Un visiteur IP brésiliens peut voir la charge utile réelle de la deuxième étape. Afin de générer la deuxième étape de attaque, le JSON de URL est analysé, puis converti de Base64 en tampon Array, écrit dans le stockage objets blob du navigateur, renommé pour correspondre au fichier HTML. Une fois que cela est fait, un lien est créé et un clic automatique pour télécharger sur le navigateur de la machine infectée.
Deuxième étape
Cette étape commence par un fichier zip créé en fonction des données de URL. La méthode de création présente quelques avantages par rapport à la méthode habituelle de téléchargement d’un fichier zip. acteur menaçant peut créer différents fichiers pour chaque cible et le servir par le biais un point de cheminement unique. Le trafic réseau risque de bloquer les objets du fichier téléchargé, mais le JSON fait naturellement partie du Web et ne sera donc pas bloqué. Certains fournisseurs de sécurité peuvent finir par identifier objet de fichier sur le réseau et envoyer pour analyse. Cela finirait par exposer opération assez rapidement.
Les travailleurs Cloudflare sont nommés de cette manière en dérivant le nom de Web Workers, API pour les scripts qui exécutent en arrière-plan un navigateur Web et en interceptant les demandes HTTP. Cloudflare Workers permet aux utilisateurs d’exécuter JavaScript dans les nombreux centres de données Cloudflare du monde entier. utilisation un travailleur permet effectuer différentes opérations.
Troisième étape
Le fichier de script est enregistré dans le répertoire temporaire sous le nom Lqncxmm: vbvvjjh.js et est exécuté avec hôte de script Windows (Wscript).. acteur de la menace utilise cette fonctionnalité de Cloudflare à son avantage, car il ajoute un simple générateur de nombres aléatoires et aléatoirement URL qui télécharge la charge utile de la troisième étape. Dans la troisième étape, dix liens de nœud de travail uniques et randomisés sont utilisés pour un nombre aléatoire compris entre 20 000 et 50 000, utilisés deux fois pour chacun des liens. Un lien peut avoir jusq à 900 millions de combinaisons.
Les recherches sur des échantillons d’Astaroth à l’aide d’URLhaus ont montré qu’au moins un analyste était en mesure de prendre des liens et de les soumettre pour analyse. Cependant, chaque fois que le script est exécuté, les URL sont différentes. Sur les systèmes exécutant Windows 32 bits, les liens Cloudflare sont ignorés et Astaroth utilise un référentiel Google privé avec un lien statique.
Les acteurs de la menace utilisant Astaroth semblent faire un effort supplémentaire pour faire de leur mieux pour éviter la détection et rendre les choses difficiles pour les chercheurs et leurs tentatives analyse. Leur utilisation de Cloudflare montre q ils recherchent des moyens innovants de générer des URL de charge utile aléatoires et de reconstruire leurs opérations au cas où leur travail serait compromis.