Aktor ancaman yang dikenal sebagai Gamaredon telah diamati memanfaatkan Cloudflare Tunnels sebagai taktik untuk menyembunyikan infrastruktur yang menampung malware yang disebut GammaDrop.
Aktivitas tersebut merupakan bagian dari kampanye spear-phishing yang sedang berlangsung yang menargetkan entitas Ukraina setidaknya sejak awal tahun 2024 yang dirancang untuk menghapus malware Visual Basic Script, kata Insikt Group dari Recorded Future dalam analisis baru.
Perusahaan keamanan siber sedang melacak pelaku ancaman dengan nama BlueAlpha, yang juga dikenal sebagai Aqua Blizzard, Armageddon, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530, dan Winterflounder. Kelompok yang diyakini aktif sejak 2014 ini berafiliasi dengan Dinas Keamanan Federal (FSB) Rusia.
“BlueAlpha baru-baru ini mulai menggunakan Cloudflare Tunnels untuk menyembunyikan infrastruktur pementasan yang digunakan oleh GammaDrop, sebuah teknik yang semakin populer digunakan oleh kelompok ancaman penjahat dunia maya untuk menyebarkan malware,” kata Insikt Group.
“BlueAlpha terus menggunakan sistem nama domain (DNS) yang melakukan fluks cepat pada infrastruktur perintah dan kontrol (C2) GammaLoad untuk mempersulit pelacakan dan gangguan komunikasi C2 guna mempertahankan akses ke sistem yang disusupi.”
Penggunaan Cloudflare Tunnel oleh musuh sebelumnya didokumentasikan oleh perusahaan keamanan siber Slovakia ESET pada September 2024, sebagai bagian dari serangan yang menargetkan Ukraina dan berbagai negara NATO, yaitu Bulgaria, Latvia, Lituania, dan Polandia.
Hal ini juga mengkarakterisasi keahlian pelaku ancaman sebagai tindakan yang ceroboh dan tidak terlalu fokus pada upaya sembunyi-sembunyi, meskipun mereka bersusah payah untuk “menghindari pemblokiran oleh produk keamanan dan berusaha keras untuk mempertahankan akses ke sistem yang disusupi.”
“Gamaredon berupaya mempertahankan aksesnya dengan menerapkan beberapa pengunduh sederhana atau pintu belakang secara bersamaan,” tambah ESET. “Kurangnya kecanggihan alat Gamaredon diimbangi dengan seringnya pembaruan dan penggunaan kebingungan yang berubah secara berkala.”
Alat-alat tersebut terutama dirancang untuk mencuri data berharga dari aplikasi web yang berjalan di dalam browser internet, klien email, dan aplikasi pesan instan seperti Signal dan Telegram, serta mengunduh muatan tambahan dan menyebarkan malware melalui drive USB yang terhubung.
- PteroPSLoad, PteroX, PteroSand, PteroDash, PteroRisk, dan PteroPowder – Unduh payload
- PteroCDrop – Jatuhkan muatan Visual Basic Script
- PteroClone – Mengirimkan muatan menggunakan utilitas rclone
- PteroLNK – Mempersenjatai drive USB yang terhubung
- PteroDig – Persenjatai file LNK di folder Desktop untuk persistensi
- PteroSocks – Menyediakan sebagian fungsi proxy SOCKS
- PteroPShell, ReVBShell – Berfungsi sebagai shell jarak jauh
- PteroPSDoor, PteroVDoor – Ekstrak file tertentu dari sistem file
- PteroScreen – Ambil dan ekstrak tangkapan layar
- PteroSteal – Mengeksfiltrasi kredensial yang disimpan oleh browser web
- PteroCookie – Mengeksfiltrasi cookie yang disimpan oleh browser web
- PteroSig – Mengeksfiltrasi data yang disimpan oleh aplikasi Signal
- PteroGram – Mengeksfiltrasi data yang disimpan oleh aplikasi Telegram
- PteroBleed – Eksfiltrate data yang disimpan oleh Telegram dan WhatsApp versi web dari Google Chrome, Microsoft Edge, dan Opera
- PteroScout – Mengeksfiltrasi informasi sistem
Rangkaian serangan terbaru yang disoroti oleh Recorded Future adalah pengiriman email phishing yang berisi lampiran HTML, yang memanfaatkan teknik yang disebut penyelundupan HTML untuk mengaktifkan proses infeksi melalui kode JavaScript yang tertanam.
Lampiran HTML, ketika dibuka, menjatuhkan arsip 7-Zip (“56-27-11875.rar”) yang berisi file LNK berbahaya, yang menggunakan mshta.exe untuk mengirimkan GammaDrop, penetes HTA yang bertanggung jawab untuk menulis ke disk pemuat khusus bernama GammaLoad, yang kemudian menjalin kontak dengan server C2 untuk mengambil malware tambahan.
Artefak GammaDrop diambil dari server pementasan yang berada di belakang Terowongan Cloudflare yang dihosting di domain amsterdam-sheet-veteran-aka.trycloudflare[.]com.
Di sisi lain, GammaLoad memanfaatkan penyedia DNS-over-HTTPS (DoH) seperti Google dan Cloudflare untuk menyelesaikan infrastruktur C2 ketika DNS tradisional gagal. Ia juga menggunakan teknik DNS fluks cepat untuk mengambil alamat C2 jika upaya pertama untuk berkomunikasi dengan server gagal.
“BlueAlpha kemungkinan akan terus menyempurnakan teknik penghindaran dengan memanfaatkan layanan sah yang banyak digunakan seperti Cloudflare, sehingga mempersulit deteksi untuk sistem keamanan tradisional,” kata Recorded Future.
“Peningkatan yang berkelanjutan terhadap penyelundupan HTML dan persistensi berbasis DNS kemungkinan akan menimbulkan tantangan yang terus berkembang, terutama bagi organisasi dengan kemampuan deteksi ancaman yang terbatas.”
