Serpentine # Cloud Attack par des attaquants inconnus ouvre une porte dérobée à base de rats.
Un autre groupe de menaces a commencé à abuser du service de tunnel CloudFlare pour faire entrer des e-mails de phishing dans des organisations ciblées sans activer les défenses conventionnelles.
Surnommé Serpentine # Cloud par le fournisseur de sécurité Securonix, l’identité du groupe de menaces derrière la campagne est toujours inconnue, tout comme la liste cible exacte ou les secteurs dans lesquels ils opèrent.
Tout ce que Securonix peut dire à ce stade est que les attaquants ont démontré une maîtrise de l’anglais et que les cibles étaient situées principalement aux États-Unis, au Royaume-Uni, en Allemagne et dans d’autres pays à travers l’Europe et l’Asie.
Cependant, la partie accrocheuse de l’analyse de Securonix est la sophistication relative de la charge utile des logiciels malveillants et les techniques intéressantes utilisées pour la livrer, en particulier l’utilisation de StryCloudflare (.) COM de CloudFlare, pour héberger l’infrastructure d’attaque.
CloudFlare Tunnel (anciennement ARGO Tunnel ou Tunnel Warp) a diverses utilisations, notamment en donnant aux développeurs un moyen rapide de connecter temporairement les serveurs de test internes à Internet sans avoir à exposer une adresse IP locale ou à ouvrir un port de pare-feu.
Les visiteurs accèdent à une ressource utilisant une URL sans avoir besoin d’authentification, qui ne devrait pas être risqué tant qu’elle est maintenue privée et n’est utilisée que peu de temps.
Malheureusement, les attaquants ont repéré le potentiel d’utiliser le service pour héberger leur propre infrastructure d’attaque. Plusieurs ont été repérés en utilisant la technique depuis 2023, notamment le groupe de menaces russes Bluealpha en décembre dernier.
Serpentin # Cloud
Les attaquants cachent leur charge utile de phishing derrière ce qui ressemble à un fichier PDF, mais est en fait un fichier de raccourci Windows .lnk déguisé.
En cliquant sur cela, le CMD.EXE local lance une charge utile de logiciels malveillants en plusieurs étapes via plusieurs couches d’obfuscation avant que le code de shell Python sans fidèle ne soit chargé dans la mémoire.
« Le résultat final est une charge utile de rat (accès à distance) qui donne aux attaquants la commande et le contrôle de l’hôte », a écrit Tim Peck, chercheur à la menace de Securonix, dans le démontage de l’entreprise.
L’utilisation de logiciels malveillants sans fidèle signifie qu’aucun fichier n’est écrit sur le disque, ce qui rend incroyablement difficile de détecter à l’aide d’EDR. L’injection de processus est utilisée pour masquer les logiciels malveillants à l’intérieur de Notepad.exe, en contournant la numérisation en mémoire.
Pourquoi le tunnel Cloudflare est-il abusé?
L’attrait de l’hébergement des infrastructures d’attaque sur le tunnel CloudFlare est qu’il est incroyablement difficile de détecter ou de défendre.
Tout d’abord, le tunnel est chiffré à l’aide de HTTPS, ce qui signifie la seule façon de voir ce qu’il y a à l’intérieur est en utilisant une forme d’inspection TLS. Cependant, cela devrait être configuré à l’avance, complètement peu pratique pour une connexion éphémère.
C’est tout l’intérêt du tunneling – vous frappez tout, y compris les pare-feu et autres couches de sécurité au niveau du réseau.
Deuxièmement, en tant que grand réseau mondial de livraison de contenu (CDN), CloudFlare est un domaine de confiance. Cela signifie que tout ce qui abuse de son abus ne sera pas bloqué en utilisant une liste de blocs statiques traditionnelle «Bad ip». Le blocage de CloudFlare ou TryCloudflare (.) COM n’est pas pratique car cela arrêterait également une utilisation légitime.
Il y a des limites au blocage des attaques
En vérité, il n’y a pas de moyen simple d’arrêter ce type de technique de sourcils.
En théorie, on pourrait bloquer le sous-domaine du tunnel abusé, ce qui semble attrayant mais a un gotcha majeur: ces domaines sont conçus pour être éphémères, et les attaquants peuvent simplement configurer et parcourir un grand nombre d’entre eux.
La dernière option consiste à faire en sorte que CloudFlare bloque les abus. Cela pourrait réussir tant que l’entreprise effectue des examens médico-légaux plus profonds des connexions utilisées pour créer des domaines malveillants. Au moment où cela se fait, cependant, les domaines suspects auront probablement disparu.
En résumé: «L’abus de l’infrastructure de tunnel Cloudflare complique encore la visibilité du réseau en donnant à l’acteur une couche de transport jetable et cryptée pour mettre en scène des fichiers malveillants sans maintenir une infrastructure traditionnelle», a conclu Peck de Securonix.
Ce qu’il faut faire
Les recommandations de Securonix commencent par les conseils les plus basiques pour bloquer les pièces jointes et traiter tout lien externe comme suspect. C’est plus facile à dire qu’à faire, bien sûr, bien que la montée des systèmes de collaboration tels que les équipes donne aux employés un autre moyen de partager des fichiers qui n’impliquent pas d’envoi et de réception de courriels.
Au-delà de cela, il s’agit d’activer la journalisation des points de terminaison plus détaillée, de surveiller les outils logiciels lorsqu’ils sont exécutés à partir d’emplacements inhabituels et d’activer la visibilité de l’extension du fichier Windows, a déclaré Securonix.
