Cyberangriff mit Python-Malware: Hacker missbrauchen Cloudflare-Tunnel zur Infektion von Windows-Systemen

Sicherheitsforscher von Securonix haben eine raffinierte Malware-Kampagne aufgedeckt, bei der Angreifer die Infrastruktur von Cloudflare-Tunnel ausnutzen, um Windows-Rechner mit versteckter Python-basierter Schadsoftware zu infizieren. Die laufende Operation, intern als SERPENTINE#CLOUD bezeichnet, setzt auf eine mehrstufige Infektionskette und zielt dabei insbesondere auf Nutzer in westlichen Ländern ab.

Der Angriffsvektor beginnt mit präparierten Verknüpfungsdateien (.lnk), die häufig über Phishing-E-Mails mit angeblichen Rechnungen oder Zahlungsinformationen verbreitet werden. Wird eine solche Datei geöffnet, beginnt eine ausgeklügelte Angriffskette: Batch-, VBScript- und Python-Skripte arbeiten zusammen, um eine Schadsoftware zu laden, die komplett im Arbeitsspeicher ausgeführt wird. Dabei kommt ein Python-basierter Shellcode-Loader zum Einsatz, der sogenannte „Donut“-gepackte Payloads injiziert – eine Technik, die das Entdecken durch klassische Virenscanner deutlich erschwert.

Die Payloads selbst werden über Subdomains geladen, die auf der Cloudflare-Tunnel-Infrastruktur basieren und von den Angreifern kontrolliert werden. Da die Verbindung über ein legitimes Cloudflare-Netzwerk läuft, wird der Datenverkehr häufig nicht als verdächtig eingestuft – ein klarer Vorteil für die Angreifer.

Obwohl die genaue Herkunft der Kampagne bislang unklar ist, deuten englischsprachige Code-Kommentare und Skriptgewohnheiten auf einen technisch versierten Urheber hin. Die Angriffe konzentrieren sich laut Telemetriedaten auf Ziele in den USA, Großbritannien, Deutschland sowie weiteren Regionen Europas und Asiens.

Die Nutzung vertrauenswürdiger Infrastruktur wie Cloudflare erlaubt es den Angreifern, ihre wahre Identität zu verschleiern und ihre Aktivitäten vor Sicherheitslösungen zu tarnen – ein Trend, der Sicherheitsexperten zunehmend Sorgen bereitet.

Entwicklung der Kampagne: Veränderung der Techniken für den ersten Zugriff

Im Laufe der Zeit hat der hinter der SERPENTINE#CLOUD-Kampagne stehende Angreifer eine interessante Entwicklung seiner Methoden für den ersten Zugriff gezeigt, wahrscheinlich als Reaktion auf Herausforderungen bei der Erkennung und Bereitstellung. Unser Team konnte frühe Samples aus den letzten Monaten korrelieren und identifizieren, die auf .url-Dateien basierten und Windows-Internetverknüpfungen nutzten, um Benutzer zum Klicken auf Links zu verleiten, die über eingebettete URLs Remote-Payloads starteten. Diese Methode war zwar einfach, wurde jedoch von E-Mail-Filtern und geschulten Benutzern leicht erkannt.

In den folgenden Phasen kamen einfache .bat-Dateien zum Einsatz, die häufig in ZIP-Archiven bereitgestellt wurden. Diese Batch-Skripte enthalten eine einfache Ausführungslogik und verwenden dieselben WebDAV-Pfade, um Payloads aus Cloudflare-Tunneln herunterzuladen und auszuführen. Trotz ihrer Einfachheit wiesen diese Dateien keine nennenswerte Verschleierung auf und waren wahrscheinlich für opportunistische Infektionen in schlecht überwachten Umgebungen gedacht. Viele wurden wahrscheinlich von potenziellen Opfern ignoriert, da sie nicht wie ein Standarddokument aussehen und daher keinen Verdacht erregen.

In jüngerer Zeit ist der Angreifer dazu übergegangen, .lnk-Verknüpfungsdateien zu verwenden, die als PDF-Dokumente getarnt sind. Diese Payloads sind wesentlich ausgefeilter und verwenden cmd.exe, um über WebDAV (über Cloudflare-Tunnel-Subdomains) unbemerkt weitere Phasen abzurufen und WSF- oder batchbasierte Dropper aufzurufen. Die Dateiendung .lnk ist immer versteckt (auch wenn in Windows die Option „Dateiendungen anzeigen“ aktiviert ist) und unterstützt auch benutzerdefinierte Symbole.

Die allgemeine Entwicklung zeigt, dass die Vorgehensweise des Angreifers immer ausgereifter wird: Er ist von opportunistischen Angriffen zu einer insgesamt heimlicheren Infektionskette übergegangen, die sowohl der Kontrolle durch den Benutzer als auch den Endpunkt-Sicherheitsmaßnahmen entgeht.

Infrastruktur des Angreifers

In dieser Kampagne nutzt der Angreifer den Tunneling-Dienst von Cloudflare – insbesondere die Subdomain trycloudflare[.]com – zum Hosten und Verteilen bösartiger Payloads. Dieser Dienst wird häufig von Entwicklern verwendet, um lokale Server vorübergehend für das Internet freizugeben, ohne Firewall-Regeln zu ändern oder eine statische Infrastruktur einzurichten. In den letzten Jahren wurde er jedoch zunehmend von Angreifern für die verdeckte Verteilung von Payloads und die Command-and-Control-Kommunikation (C2) missbraucht.

Warum Cloudflare-Tunnel verwenden?

„Im Verlauf der SERPENTINE#CLOUD-Kampagne haben wir beobachtet, dass die Angreifer die Tunnel-Infrastruktur von Cloudflare zum Hosten der ersten Payloads und Stager nutzten.“

• Dadurch können Angreifer Inhalte auf einem lokalen Rechner hosten, die sowohl dynamisch als auch kurzlebig sind. Aufgrund ihrer Beschaffenheit können Assets über eine temporäre Subdomain *.trycloudflare[.]com über ein vertrauenswürdiges Cloud-Netzwerk für das öffentliche Internet sichtbar gemacht werden.
• Die Registrierung von Domains oder die Anmietung von VPS-Servern entfällt, wodurch die Entfernung und Zuordnung erheblich erschwert wird.
• Seriöser CDN-Schutz: Domains unter trycloudflare[.]com werden durch das globale CDN von Cloudflare geschützt und durch dessen TLS-Zertifikate gesichert. Dadurch kann sich die Infrastruktur in den legitimen Datenverkehr einfügen und URL- oder domänenbasierte Blockierungsmechanismen umgehen.
• Die Verwendung von HTTPS (und in diesem Fall WebDAV über SSL) verschlüsselt die Übertragung der Payloads und umgeht Deep Packet Inspection sowie einige NIDS/NIPS-Systeme.
• Da trycloudflare[.]com für legitime Test- und Entwicklungszwecke vorgesehen ist, blockieren oder überwachen viele Organisationen den Datenverkehr dorthin nicht explizit.

„Zusätzlich zu Cloudflare haben wir in der Ausführungsphase beobachtet, dass die Angreifer benutzerdefinierte Domains wie nhvncpure[.]shop und dynamische DNS-Hosting-Dienste wie duckdns, z. B. nhvncpurekfl.duckdns[.]org, verwendet haben.“

Die Verwendung von HTTPS und WebDAV über SSL verschlüsselt die Übertragung der Nutzdaten zusätzlich und umgeht so Deep Packet Inspection und Netzwerk-Intrusion-Detection-Systeme.
Darüber hinaus nutzt die Kampagne Early Bird APC-Injection, um Shellcode innerhalb legitimer Prozesse wie notepad.exe auszuführen und so einen heimlichen Betrieb zu gewährleisten.
Python-Nutzdaten in der letzten Phase, die mit Tools wie Kramer verschleiert sind, entschlüsseln RC4-verschlüsselten Shellcode im Speicher, was häufig zur Bereitstellung von RATs wie AsyncRAT oder RevengeRAT führt, wodurch Angreifer die vollständige Kontrolle über infizierte Systeme zur Datenexfiltration oder lateralen Bewegung erhalten.

Angreifer nutzen Windows-Startordner für dauerhafte Systemkompromittierung

Sicherheitsforscher haben herausgefunden, dass Angreifer für ihre Persistenzmechanismen auf einfache, aber effektive Methoden setzen: Skripte im Windows-Startordner. Darunter befinden sich auch .vbs-Dateien, die frühere Phasen des Angriffs nachahmen und durch simulierte Benutzereingaben sicherstellen, dass die kompromittierten Systeme aktiv bleiben.

Besonders auffällig: Der Fokus der aktuellen Kampagne liegt auf westlichen Zielen, begleitet von englischsprachigen Kommentaren im Quellcode. Diese Details deuten auf einen professionell agierenden, möglicherweise staatlich unterstützten Akteur hin, der offenbar skalierbare Techniken zur Schadsoftwareverbreitung testet.

Zusammenfassung…

Die SERPENTINE#CLOUD-Kampagne ist eine komplexe und vielschichtige Infektionskette, die ein wenig Social Engineering, Living-off-the-Land-Techniken und ausweichende In-Memory-Codeausführung miteinander verbindet. Die hinter dieser Aktivität stehenden Angreifer liefern uns neue Erkenntnisse und Erkennungsmöglichkeiten darüber, wie sie sich unbemerkt halten und gleichzeitig erfolgreich Backdoors in Systeme einschleusen können.

Der progressive Einsatz von Skripten und verschiedenen Dateitypen zur Verschleierung ihrer wahren Absichten führt uns auf einen langen Weg der Verschleierung, bis die endgültige Nutzlast im Speicher aktiv ist. Von irreführenden .lnk-Dateien über verschleierte Batch-Skripte bis hin zu Python-Shellcode-Loadern ist jede Phase des Angriffs darauf ausgelegt, die Erkennung zu verzögern und gleichzeitig den Zugriff so heimlich wie möglich aufrechtzuerhalten.

Der Missbrauch der Cloudflare-Tunnel-Infrastruktur erschwert die Netzwerktransparenz zusätzlich, da er dem Angreifer eine verschlüsselte Transportschicht zum Bereitstellen bösartiger Dateien bietet, ohne dass eine herkömmliche Infrastruktur erforderlich ist.

Die Urheberschaft ist zwar weiterhin unklar, doch die Struktur der Kampagne, die Verwendung englischsprachiger Kommentare und die Konzentration auf westliche Ziele deuten darauf hin, dass es sich um einen relativ versierten Angreifer handelt, der skalierbare Bereitstellungsmethoden testet. Der Einsatz von Tools wie Donut und dem Kramer-Verschleierungsprogramm unterstreicht die Absicht, unter dem Radar herkömmlicher Abwehrmaßnahmen zu operieren.

Highlights der Kampagne

• .lnk-Verknüpfungsdateien, die als Dokumente getarnt sind, um die Infektion auszulösen
• Phishing-Köder mit häufig gefälschten Rechnungen als Thema, oft in ZIP-Archiven
• WebDAV-basierte Bereitstellung der Nutzlast, gehostet auf temporären Cloudflare-Tunnel-Subdomains
• Verschleierte .wsf- und .bat-Skripte zum Vorbereiten und Starten der nächsten Phasen
• Entschlüsselung und Ausführung von Python-basierten Shellcode-Loadern vollständig im Arbeitsspeicher
• Eingebetteter Shellcode führt eine mit Donut gepackte PE-Payload aus, ohne die Festplatte zu berühren
• Starker Fokus auf Tarnung, Modularität und Anti-Forensik in der gesamten Kette
• Angriffe auf westliche Länder, darunter die USA, Großbritannien und Deutschland

Empfehlungen von Securonix

• Da diese Kampagne wahrscheinlich mit Phishing-E-Mails gestartet wurde, sollten Sie das Herunterladen von Dateien oder Anhängen aus externen Quellen vermeiden, insbesondere wenn die Quelle unaufgefordert war. Zu den gängigen Dateitypen gehören zip, rar, iso und pdf. Darüber hinaus sollten externe Links zum Herunterladen dieser Dateitypen als ebenso gefährlich eingestuft werden.
• Aktivieren Sie in Windows die Anzeige von Dateierweiterungen, um sicherzustellen, dass die Dateierweiterungen korrekt angezeigt werden.
• Überwachen Sie gängige Malware-Staging-Verzeichnisse, insbesondere skriptbezogene Aktivitäten in weltweit beschreibbaren Verzeichnissen. Im Fall dieser Kampagne haben die Angreifer ihre QEMU-Instanz aus dem Home-Verzeichnis des Benutzers unter %HOME%Contacts bereitgestellt.
• Überwachen Sie die Verwendung legitimer Software wie Python, die von ungewöhnlichen Speicherorten aus ausgeführt wird.
• Wir empfehlen dringend den Einsatz robuster Endpunkt-Protokollierungsfunktionen, um die Erkennung von PowerShell zu unterstützen. Dazu gehört die Nutzung zusätzlicher Protokollierung auf Prozessebene wie Sysmon und PowerShell-Protokollierung für eine zusätzliche Protokollierungsabdeckung

Quelle: Securonix

---

---