Gefährliche Tarnung: GammaDrop-Malware : Hacker nutzen Cloudflare-Service als Versteck für GammaDrop-Malware
Der berüchtigte Bedrohungsakteur Gamaredon tarnt mit dem geschickten Einsatz von Cloudflare-Tunneln und DNS-Fast-Flux seine Infrastruktur und macht sie nahezu unsichtbar. Hinter dieser gut versteckten Fassade verbirgt sich die Malware GammaDrop, die gezielt eingesetzt wird, um Opfer anzugreifen – während ihre wahre Herkunft im Schatten bleibt.
Die Aktivitäten sind Teil einer laufenden Spear-Phishing-Kampagne, die seit Anfang 2024 gezielt ukrainische Unternehmen angreift. Ziel der Kampagne ist es, Schadsoftware in Form von Visual Basic Scripts zu verbreiten, wie die Insikt Group von Recorded Future in einer neuen Analyse berichtet. Die Cybersicherheitsforscher beobachten den verantwortlichen Bedrohungsakteur BlueAlpha, der auch unter Bezeichnungen wie Aqua Blizzard, Armageddon, Primitive Bear oder Shuckworm bekannt ist. Die Gruppe, die seit 2014 aktiv sein soll, wird mit dem russischen Föderalen Sicherheitsdienst (FSB) in Verbindung gebracht.
Cloudflare-Tunnel als Schutzschild der Angreifer
Laut Insikt Group setzt BlueAlpha mittlerweile auf Cloudflare-Tunnel, um die Infrastruktur für die Verteilung der Schadsoftware GammaDrop zu verbergen – eine Technik, die zunehmend von Cyberkriminellen genutzt wird, um ihre Aktivitäten zu verschleiern.
Zusätzlich verwendet die Gruppe DNS-Fast-Fluxing in der Command-and-Control-(C2)-Infrastruktur von GammaLoad. Diese Methode erschwert das Nachverfolgen und Blockieren der Kommunikation zwischen der Malware und ihren Steuerungsservern. Das ermöglicht den Angreifern, den Zugriff auf kompromittierte Systeme aufrechtzuerhalten.
Bereits im September 2024 dokumentierte das slowakische Cybersicherheitsunternehmen ESET den Einsatz von Cloudflare-Tunnel durch den Angreifer im Rahmen von Attacken auf die Ukraine und mehrere NATO-Staaten, darunter Bulgarien, Lettland, Litauen und Polen.
BlueAlpha: Der Bedrohungsakteur
ESET beschrieb die Vorgehensweise der Angreifer als „rücksichtslos“ und nicht besonders darauf ausgelegt, unentdeckt zu bleiben. Gleichzeitig betonte das Unternehmen, dass die Angreifer alles daran setzen, „von Sicherheitsprodukten nicht blockiert zu werden und den Zugriff auf kompromittierte Systeme hartnäckig aufrechtzuerhalten.“
„Gamaredon verwendet mehrere einfache Downloader oder Backdoors gleichzeitig, um den Zugriff auf Systeme sicherzustellen“, erklärte ESET. „Auch wenn die eingesetzten Tools technisch nicht besonders anspruchsvoll sind, kompensieren die Angreifer dieses Manko durch regelmäßige Updates und ständig wechselnde Verschleierungstechniken.“
Die Werkzeuge sind speziell darauf ausgelegt, wertvolle Daten aus Webanwendungen, die in Internetbrowsern laufen, sowie aus E-Mail-Clients und Instant-Messaging-Anwendungen wie Signal und Telegram zu stehlen. Zudem können sie zusätzliche Schadsoftware herunterladen und sich über angeschlossene USB-Laufwerke verbreiten.
Die Tools
Hier eine Übersicht der Tools:
- PteroPSLoad, PteroX, PteroSand, PteroDash, PteroRisk, PteroPowder: Laden zusätzliche Schadsoftware herunter.
- PteroCDrop: Platziert Visual-Basic-Skript-Schadsoftware.
- PteroClone: Verteilt Schadsoftware mithilfe des Rclone-Tools.
- PteroLNK: Macht angeschlossene USB-Laufwerke zu Überträgern von Malware.
- PteroDig: Manipuliert LNK-Dateien im Desktop-Ordner, um dauerhaft auf das System zuzugreifen.
- PteroSocks: Bietet eingeschränkte SOCKS-Proxy-Funktionalität.
- PteroPShell, ReVBShell: Fungieren als Fernzugriffs-Shells.
- PteroPSDoor, PteroVDoor: Extrahieren gezielt Dateien vom Dateisystem.
- PteroScreen: Erfassen und übertragen Screenshots.
- PteroSteal: Exfiltrieren von Zugangsdaten, die in Webbrowsern gespeichert sind.
- PteroCookie: Stehlen von Cookies, die in Webbrowsern gespeichert sind.
- PteroSig: Extrahieren von Daten aus der Signal-App.
- PteroGram: Stehlen von Daten aus der Telegram-App.
- PteroBleed: Entwenden von Daten aus den Web-Versionen von Telegram und WhatsApp in Browsern wie Google Chrome, Microsoft Edge und Opera.
- PteroScout: Sammelt und überträgt Systeminformationen.
DNS-Fast-Flux
Die jüngste Angriffswelle, die von Recorded Future beschrieben wird, nutzt Phishing-E-Mails mit HTML-Anhängen, um Schadsoftware zu verbreiten. Dabei kommt eine Technik namens HTML smuggling (HTML-basierter Code-Schmuggel) zum Einsatz, bei der eingebetteter JavaScript-Code den Infektionsprozess auslöst.
Wird der HTML-Anhang geöffnet, wird ein 7-Zip-Archiv („56-27-11875.rar“) entpackt, das eine schädliche LNK-Datei enthält. Diese Datei verwendet das Windows-Tool mshta.exe, um die Malware GammaDrop auszuliefern. GammaDrop ist ein HTA-Dropper (Schadsoftware, die HTML Application (HTA)-Dateien verwendet, um bösartigen Code auf ein Zielsystem zu bringen und auszuführen), der einen benutzerdefinierten Loader namens GammaLoad auf die Festplatte schreibt. Dieser Loader verbindet sich anschließend mit einem Command-and-Control-(C2)-Server, um weitere Schadsoftware herunterzuladen.
Das GammaDrop-Artefakt wird von einem Staging-Server bereitgestellt, der sich hinter einem Cloudflare-Tunnel verbirgt und unter der Domain „amsterdam-sheet-veteran-aka.trycloudflare[.]com“ gehostet wird.
GammaLoad verwendet DNS-over-HTTPS (DoH)-Dienste wie Google und Cloudflare, um die Verbindung zur C2-Infrastruktur herzustellen, falls herkömmliches DNS blockiert wird. Zudem wird eine Fast-Flux-DNS-Technik eingesetzt, die es ermöglicht, dynamische IP-Adressen für die C2-Server zu nutzen, falls der erste Verbindungsversuch scheitert.
Laut Recorded Future wird BlueAlpha wahrscheinlich weiterhin an seinen Umgehungstechniken arbeiten. Im Playbook stehen legitime und weitverbreitete Dienste wie Cloudflare, um die Erkennung durch Sicherheitssysteme zu erschweren. Besonders die Weiterentwicklung von HTML-smuggling und DNS-basierten Persistenztechniken stellt eine große Herausforderung dar, insbesondere für Unternehmen mit begrenzten Kapazitäten zur Bedrohungserkennung.