En su última campaña avanzada de amenaza persistente, un grupo apto apoyado por Rusia, abusa de los túneles de Cloudflare para transmitir a su propietario de Gammaload. Identificado bajo el nombre de Bluealpha, fue observado por el Grupo Insikt de la compañía de seguridad cibernética mientras operaba el servicio oficial del túnel para difundir el malware para la exfiltración de datos, el vuelo de identificación y el acceso persistente a las redes de compromiso. "Blualpha utiliza túneles de CloudFlare para ocultar la infraestructura de Gammadrop, escapando de los mecanismos de detección de redes tradicionales", dijo Investigadores de Insikt en una nota.

"El grupo difunde el malware al explotar la técnica de contrabando HTML que se llama SO, o de contrabando HTML, basado en técnicas sofisticadas para evitar los sistemas electrónicos de seguridad de correo". Bluealpha, cuyas actividades se superponen con las de los grupos declarados públicamente como Gameredon, Shuckworm y Armageddon, es un grupo que probablemente actúa en nombre de la FSB (servicios secretos rusos).

Índice
  1. Cloudflare Túneles desviados para la difusión de malware
  2. Fortalecer la seguridad del correo electrónico y la red

Cloudflare Túneles desviados para la difusión de malware

El servicio gratuito de túneles de cloudflare ofrece a los usuarios crear un túnel utilizando un subdominio generado aleatoriamente de TryCloudflare.com. Este túnel dirige todo el tráfico que llega a este subdominio a través de la red CloudFlare a un servidor operativo local. "Según nuestras observaciones, Bluealpha usó esta función para ocultar la infraestructura que se utiliza para implementar el software de Gammadrop malicioso", dijeron los investigadores.

Este último también pudo sorprender al grupo ajustando ligeramente la técnica popular de diseminación de malware llamado contrabando HTML o contrabando de HTML, que consiste en distribuir software malicioso ocultando el JavaScript malicioso en los accesorios HTML, para evitar la detección. "Las muestras recientes muestran cambios en los métodos de desalencia, como el uso del evento HTML onderror Para ejecutar un código malicioso ”, agregaron los investigadores. Gammadrop actúa como un gotero, y escribe Gammaload en el disco para garantizar la persistencia.

Fortalecer la seguridad del correo electrónico y la red

Los investigadores recomiendan implementar soluciones para inspeccionar y bloquear las técnicas de contrabando de HTML para informar los archivos adjuntos con eventos sospechosos de HTML como onderror. Las políticas de control que pueden bloquear la ejecución de archivos maliciosos y las conexiones DNS-Over-HTTP (DOH) no autorizadas también podrían ayudar a contrarrestar estas amenazas.

"El uso continúa por Bluealpha de servicios oficiales como Cloudflare muestra que el grupo continúa sus esfuerzos para refinar sus técnicas de escape", dijeron los investigadores. "Las empresas deben permanecer vigilantes e invertir en capacidades de detección y respuesta avanzadas para combatir estas amenazas sofisticadas".