BlueAlpha利用合法云服务和HTML隐匿技术进行恶意软件传播
关键要点
背景:BlueAlpha是一支受到俄罗斯支持的高级持续威胁APT组织,利用Cloudflare隧道传播其GammaLoad恶意软件。手段:该组织采用HTML隐匿等复杂技术,规避传统网络检测机制。建议:组织应加强邮件和网络安全措施,以应对这些先进的威胁。在最新的活动中,一个受到俄罗斯支持的高级持续威胁APT组织被发现滥用Cloudflare隧道来传播其专有的GammaLoad恶意软件。
网络安全研究公司Insikt Group观察到,威胁行为者BlueAlpha正在利用这一合法的隧道服务进行数据外泄、凭证盗窃及对被攻陷网络的持续访问。
研究人员在报告中表示:“BlueAlpha使用Cloudflare隧道来隐藏其GammaDrop部署基础设施,从而避开传统的网络检测机制。”他们补充说:“该组织通过HTML隐匿技术传递恶意软件,利用复杂的手段绕过电子邮件安全系统。”
BlueAlpha的活动与公开报道的团体如Gameredon、Shuckworm和Armageddon重叠,被认为是在俄罗斯联邦安全局FSB的指导下运作的网络威胁组织。
利用Cloudflare隧道传播恶意软件
Cloudflare的免费隧道服务允许用户通过trycloudflarecom创建随机生成的子域,从而将任何流向该子域的流量通过Cloudflare的网络导向本地运行的服务器。
twitter梯子研究人员指出,BlueAlpha利用此功能隐藏其用于部署GammaDrop恶意软件的基础设施。
此外,BlueAlpha还对流行的恶意软件传播技术HTML隐匿进行了微调,该技术涉及在HTML附件中隐藏恶意JavaScript,以避免被检测。
“最近的样本显示解混淆方法的变化,例如使用onerror HTML事件执行恶意代码,”研究人员补充说。
GammaDrop作为一个滴管程序,在磁盘上写入GammaLoad,以确保持久性。
应对措施包括邮件和网络安全
研究人员建议部署解决方案以检查和阻止HTML隐匿技术,标记具有可疑HTML事件如onerror的附件。
能够阻止恶意文件执行及未授权DNSoverHTTPSDoH连接的控制政策也能帮助应对这些威胁。
研究人员补充道:“BlueAlpha持续利用像Cloudflare这样合法的服务显示了其精细化规避技术的决心。”对此,组织必须保持警惕,投资于先进的检测与响应能力,以应对这些复杂的威胁。
