Un actor malicioso está aprovechando los servicios en la nube de Cloudflare Worker y otras herramientas para llevar a cabo operaciones de espionaje contra objetivos gubernamentales y policiales en el subcontinente indio y sus alrededores.
“SloppyLemming” es una amenaza persistente avanzada (APT) que Crowdstrike (que la sigue como Outrider Tiger) ya ha vinculado a la India. Esta atribución parece coherente con el último intento del grupo de robar inteligencia valiosa de una amplia gama de organizaciones sensibles en países fronterizos con la India.
Entre sus víctimas se encuentran agencias gubernamentales (órganos legislativos, Ministerio de Asuntos Exteriores, Ministerio de Defensa), proveedores de TI y telecomunicaciones, empresas de construcción y la única central nuclear de Pakistán. La policía paquistaní y otros organismos encargados de hacer cumplir la ley han sido especialmente atacados, pero los ataques de SloppyLemming también se han extendido a los ejércitos y gobiernos de Bangladesh y Sri Lanka, así como a organizaciones industriales energéticas y académicas chinas, y ha habido indicios de un posible objetivo. en Canberra, la capital australiana, o sus alrededores.
La campaña, descrita en una nueva publicación del blog de Cloudflare, utiliza Discord, Dropbox, GitHub y, sobre todo, la propia plataforma “Workers” de Cloudflare en cadenas de ataques de phishing que terminan con Recolección de credenciales y compromiso del correo electrónico.
Los piratas informáticos utilizan los trabajadores de Cloudflare
Los ataques de SloppyLemming suelen comenzar con un correo electrónico de phishing, como una alerta de mantenimiento falsa del departamento de TI de una comisaría. Se destacan más en la etapa dos, cuando abusan del servicio Workers de Cloudflare.
Cloudflare Workers es una plataforma informática sin servidor para ejecutar scripts que se ejecutan en el tráfico web que fluye a través de los servidores globales de Cloudflare. Estos son básicamente fragmentos de JavaScript que interceptan solicitudes al sitio web de un usuario en tránsito, antes de que lleguen al servidor de origen del usuario y les apliquen algún tipo de función, por ejemplo, redirección de enlaces o agregar encabezados de seguridad.
Al igual que otros servicios legítimos flexibles y multifuncionales, Cloudflare Workers también se puede utilizar con fines maliciosos. En 2020, los piratas informáticos coreanos utilizaron trabajadores para llevar a cabo Spam de SEOY una puerta trasera llamada “BlackWater” lo usó para interactuar con su servidor de comando y control (C2); Al año siguiente, los atacantes lo utilizaron para facilitar una estafa de criptomonedas.
SloppyLemming utiliza una herramienta personalizada llamada “CloudPhish” para gestionar la lógica de registro de credenciales y la exfiltración. Los usuarios de CloudPhish primero definen sus objetivos y el canal de exfiltración previsto. Luego, el programa extrae el contenido HTML asociado con la página de inicio de sesión del correo web del objetivo y crea una copia maliciosa con él. Cuando el objetivo ingresa su información de inicio de sesión, la roban a través de un webhook de Discord.
Mal uso de los servicios en la nube
SloppyLemming también tiene otros trucos bajo la manga. En casos limitados, ha utilizado un trabajador malintencionado para recopilar Fichas de OAuth de Google.
Se utilizó otro trabajador para redirigir a una URL de Dropbox, donde había un archivo RAR diseñado para explotar CVE-2023-38831, un problema de gravedad “alta”, calificado con 7,8 sobre 10 por CVSS en versiones de WinRAR anteriores a 6.23. La misma vulnerabilidad fue utilizada recientemente por un grupo de amenazas rusas contra ciudadanos ucranianosAl final de esta cadena de explotación pesada de Dropbox había una herramienta de acceso remoto (RAT) que involucraba a varios otros trabajadores.
“Utilizan al menos tres, cuatro o cinco herramientas en la nube diferentes”, señala Blake Darché, director de Cloudforce One en Cloudflare. “Los malos actores suelen intentar aprovecharse de las empresas utilizando diferentes servicios de diferentes empresas. [victims] “No pueden coordinar lo que están haciendo. »
Para comprender las cadenas de ataques que se extienden a través de tantas plataformas, explica: “Es necesario tener un buen control de su red e implementar arquitecturas Zero Trust para comprender lo que entra y sale de su red, en todos los diferentes bordes: Tráfico DNS, tráfico de correo electrónico, tráfico web, comprensión de todo. Creo que muchas organizaciones realmente luchan en esta área. »