Cybersäkerhetsföretaget Proofpoint har publicerat en kartläggning, där man observerat en ny trend - att en hotaktör utnyttjar så kallade Cloudflare-tunnlar för att distribuera Remote Access Trojans (RAT). Denna nya teknik utgör, enligt Proofpoint. en betydande utmaning för upptäckt och förebyggande, eftersom den utnyttjar legitim infrastruktur för att dölja skadliga aktiviteter.
Cloudflare-tunnlar är en tjänst designad för att säkert ansluta webbservrar och andra applikationer mot internet. Genom att utnyttja denna tjänst kan angripare kringgå traditionella säkerhetsåtgärder och få obehörig åtkomst till offrens system.
Arbetssättet innebär att hotaktören sätter upp en egen Cloudflare-tunnel, som ger en säker och krypterad anslutning till en fjärrserver. Denna tunnel används sedan för att leverera trojanen, som i sin tur består av skadlig programvara utformad för att ge angripare kontroll över infekterade system. När de väl är installerade kan trojanen utföra en rad aktiviteter, inklusive att stjäla känslig information, logga tangenttryckningar och ta skärmdumpar.
Missbruket av Cloudflare-tunnlar lägger till ett lager av komplexitet för cybersäkerhetsförsvar, eftersom trafiken verkar legitim på grund av användningen av Cloudflares betrodda infrastruktur.
En av de trojaner som distribueras i dessa kampanjer är "njRAT", som enligt Proofpoint har varit ett populärt val bland cyberkriminella på grund av dess robusta funktioner och användarvänlighet.
Enligt företaget belyser detta den växande trenden att cyberbrottslingar utnyttjar legitima tjänster för skadliga syften.
Hela analysen finns att läsa här: https://www.proofpoint.com/us/blog/threat-insight/threat-actor-abuses-cloudflare-tunnels-deliver-rats