Nell'ambito della sicurezza informatica, un gruppo di hacker noto come Gamaredon sta utilizzando Cloudflare Tunnels per nascondere le proprie infrastrutture di staging che ospitano un malware chiamato GammaDrop. Questo modus operandi fa parte di una campagna di spear-phishing in corso, mirata principalmente a enti ucraini sin dall'inizio del 2024. L'obiettivo è distribuire un malware scritto in Visual Basic Script. L'Insikt Group di Recorded Future sta monitorando questo gruppo, identificato anche con vari nomi come BlueAlpha e Aqua Blizzard, e si ritiene che sia affiliato con il Servizio di Sicurezza Federale della Russia (FSB).

L'attività di BlueAlpha

L'attività di BlueAlpha si distingue per l'uso di Cloudflare Tunnels, una tecnica sempre più popolare tra i gruppi di cybercriminali per distribuire malware, come evidenziato da un'analisi di Insikt Group. Inoltre, il gruppo continua a utilizzare il fast-fluxing del sistema di nomi a dominio (DNS) per complicare il tracciamento e interrompere le comunicazioni con i server di comando e controllo (C2), garantendo così l'accesso continuo ai sistemi compromessi.

Questo comportamento è stato documentato anche dalla società di sicurezza informatica slovacca ESET, che ha osservato attacchi mirati non solo contro l'Ucraina ma anche contro diversi paesi della NATO, tra cui Bulgaria, Lettonia, Lituania e Polonia. Nonostante le loro tattiche siano spesso avventate e non particolarmente focalizzate sul mantenere la discrezione, gli attori di minacce come Gamaredon si sforzano di evitare il blocco da parte dei prodotti di sicurezza e cercano di mantenere l'accesso ai sistemi compromessi.

Tra gli strumenti utilizzati dal gruppo, ci sono vari downloader e backdoor, progettati principalmente per rubare dati preziosi da applicazioni web, client di posta elettronica e applicazioni di messaggistica istantanea come Signal e Telegram, oltre a scaricare payload aggiuntivi e propagare il malware tramite unità USB connesse. Gli attacchi recenti includono l'invio di email di phishing con allegati HTML che sfruttano una tecnica nota come HTML smuggling per attivare il processo di infezione tramite codice JavaScript incorporato.

L'uso di infrastrutture come Cloudflare Tunnel e tecniche di evasione avanzate come il DNS over HTTPS (DoH) per risolvere l'infrastruttura C2, dimostra l'intenzione di BlueAlpha di affinare continuamente le proprie tecniche di evasione, complicando la rilevazione per i tradizionali sistemi di sicurezza.