Astaroth Malware Moves in on Cloudflare Workers to Evade Detection

亚斯她录恶意软件特洛伊木马攻击在最近的新闻中,一篇关于Astaroth传播的报道,一个困扰用户的无文件恶意软件引起了互联网安全界的注意。此威胁运行的系统工具使用复杂的附加链,该链不使用任何可执行文件来秘密执行其操作。

在公布的报告之后,阿斯塔罗斯竞选活动背后的团体决定改变他们的策略 。具体而言,他们所做的是继续使用Cloudflare Workers通过试图躲避检测来继续他们的活动。 该过程分几个阶段完成,如下所述。

第一阶段

活动背后的演员通过使用经典的社会工程计划开始他们的工作。他们所做的是发送一条消息,该消息看起来像组织针对计费或审计请求获得的通常的自动电子邮件响应。还使用了一个HTML附件,它不会试图隐藏它确实是一个HTML文件。现在这是一个使用HTML的简单案例,因为它专门用于混淆和包含Javascript代码。

它从一个简单的Base64字符串到ArrayBuffer函数开始,然后是用于执行下一步攻击的Base64编码的URL。第三部分用于根据URL在浏览器内存中生成blob对象,并在浏览器会话中下载。文件的填充部分对该过程没有贡献。

通过使用Cloudflare,处理参与者正在添加一层安全性,其中自动分析工具或沙箱将接收挑战页面,而不是Astaroth的实际有效负载。 Cloudflare IP Geolocation将一个名为“CF-IPCountry”的标头添加到从受感染机器到主机服务器的所有请求中。来自巴西IP的一位访客能够看到实际的第二步有效载荷。为了生成攻击的第二步,解析URL的JSON,然后从Base64转换为Array缓冲区,写入浏览器的blob存储,重命名以匹配HTML文件。完成后,将创建一个链接,并自动单击以下载到受感染机器的浏览器。

第二阶段

此步骤以zip文件开头,该文件是根据URL中的数据创建的。与通常的下载zip文件的方法相比,创建方法有一些优点。威胁参与者可以为每个不同的目标创建不同的文件,并且可以通过单个航点服务它。网络流量最终可能会阻止下载文件对象,但JSON是Web的自然组成部分,因此不会被阻止。某些安全供应商最终可能会识别网络上的文件对象,并可能将其发送以进行分析。这最终会很快暴露出来。

Cloudflare Workers以这种方式命名,方法是从Web Workers中获取名称,API用于在Web浏览器后台运行的脚本以及拦截HTTP请求。 Cloudflare Workers允许用户在Cloudflare的全球众多数据中心中运行JavaScript。使用Worker可以让人们进行许多不同的操作。

第三阶段

脚本文件以名称Lqncxmm:vbvvjjh.js保存到临时目录中,并使用Windows脚本宿主(Wscript)执行. 威胁行为者使用Cloudflare的这一功能,因为他们添加了一个简单的随机数生成器并随机化了下载第三步有效负载的URL。在第三步中,有10个随机和唯一的工作节点链接用于20,000到50,000之间的随机数,每个链接使用两次。一个链接可能有多达9亿个组合。

使用URLhaus搜索Astaroth的样本表明至少有一位分析师能够获取链接并提交它们进行分析。但是,每次运行脚本时,URL都不同。在运行32位Windows的系统上,将跳过Cloudflare链接,并且Astaroth使用具有静态链接的私有Google存储库。

使用Astaroth的威胁演员似乎正在采取额外的距离,以尽量避免被发现 ,并使研究人员及其分析尝试变得困难。他们使用Cloudflare表明他们正在寻找创新的方法来生成随机有效负载URL并在他们的工作受到损害时重建他们的操作。

发表评论

请不要将此评论系统用于支持或结算问题。 若要获取SpyHunter技术支持,请通过SpyHunter打开技术支持问题直接联系我们的技术团队。 有关结算问题,请参考“结算问题?”页面。 有关一般查询(投诉,法律,媒体,营销,版权),请访问我们的"查询和反馈"页面。