La porte dérobée ELF basée sur Linux cible les charges de travail cloud de tous les fournisseurs, en utilisant des domaines C2 basés sur SMTP et Alibaba typosquattés pour récolter les informations d’identification et les métadonnées.
Des pirates informatiques chinois ont déployé une porte dérobée ELF basée sur Linux pour voler les informations d’identification cloud à grande échelle des charges de travail des environnements AWS, GCP, Azure et Alibaba Cloud.
Selon les conclusions de Breakglass Intelligence, la porte dérobée utilise une technique de « détection zéro », utilisant le port SMTP 25 comme canal de commande et de contrôle (C2) secret pour récolter les informations d’identification et les métadonnées du fournisseur de cloud.
« Un mécanisme de validation sélectif de la poignée de main C2 rend le serveur invisible aux outils d’analyse conventionnels comme Shodan et Censys », ont déclaré les chercheurs de Breakglass dans un article de blog. Les informations d’identification volées sont envoyées à trois domaines typosquattés sur le thème d’Alibaba hébergés sur l’infrastructure Alibaba Cloud à Singapour.
La campagne, attribuée au groupe connu APT41 (Winnti), cible les informations d’identification cloud sensibles, notamment les informations d’identification du rôle IAM, les jetons de compte de service, les jetons d’identité gérés et les informations d’identification du rôle RAM.
Métadonnées intégrées au nouveau mot de passe
Une fois exécuté, le malware interroge le service de métadonnées de l’instance, généralement exposé à l’adresse 169.254.169.254, pour récupérer les jetons d’accès et les données de configuration appartenant à l’environnement hôte.
Les requêtes varient en fonction de l’environnement. Pour AWS, ils sont conçus pour les informations d’identification du rôle IAM, pour les jetons de compte de service dans GCP, les jetons d’identité gérés des points de terminaison IMDS sur Azure et pour les informations d’identification du rôle RAM à partir des métadonnées ECS dans Alibaba Cloud.
Les chercheurs ont également pointé du doigt une balise de mouvement latéral sous la forme d’une diffusion UDP. « L’implant envoie périodiquement des paquets de diffusion UDP à ‘255.255.255.255:6006’ au sein du segment du réseau local », ont-ils déclaré. « Ces diffusions contiennent une balise codée que d’autres hôtes compromis peuvent recevoir, permettant une coordination peer-to-peer et une distribution latérale des tâches sans trafic C2 supplémentaire. »
Les chercheurs retracent les activités de Winnti jusqu’en 2020, ce qui en fait une campagne vieille de 6 ans, avec la première variante documentée « PWNLNX » utilisant un shell inversé de base et un codage XOR. Les choses ont bien changé depuis.
Typosquatting pour l’espionnage cloud natif
La campagne repose en grande partie sur la tromperie, ont souligné les chercheurs, en utilisant des domaines C2 ressemblant beaucoup aux services légitimes d’Alibaba Cloud. L’approche typosquatting permet au trafic malveillant de se fondre dans les opérations cloud de routine, en particulier dans les environnements où le filtrage sortant est absent.
L’implant utilisé est un binaire ELF obscurci, avec un exécutable conçu pour obtenir et maintenir l’accès aux instances cloud Linux. Les chercheurs ont déclaré que le binaire n’avait pas été détecté du tout sur ViruTotal au moment de l’analyse, confirmant ainsi leurs affirmations de « détection zéro ».
Le malware ne répond pas non plus aux sondes involontaires, l’infrastructure C2 restant silencieuse à moins qu’une poignée de main correcte (malveillante) ne soit établie. Cela annule l’analyse automatisée et le sandboxing.
De plus, la communication via SMTP (port 25) ajoute une couche de furtivité. Alors que le trafic C2 conventionnel s’en tient à HTTP/S, SMTP est utilisé ici pour se fondre dans des environnements hérités ou mal configurés où le trafic du port 25 est attendu. « De nombreux outils de sécurité cloud n’inspectent pas en profondeur le trafic SMTP pour détecter les modèles C2 », ont noté les chercheurs. « Le filtrage de sortie sur le port 25 est incohérent entre les fournisseurs de cloud. »
Indicateurs et détection
Malgré le recours à la furtivité, les chercheurs ont pu relier les points à l’aide d’une recherche indépendante menée par @Xlab_qax, qui a attribué la campagne et sa lignée à APT41 avec une grande confiance. Les indicateurs partagés par les chercheurs incluent les fichiers et les signatures réseau (domaine et ports). Ils ont également inclus une liste de tactiques MITRE ATT&CK pour une compréhension plus large de la campagne qui a duré plusieurs années. La divulgation de Breakglass a souligné une approche de détection basée sur le comportement à travers les couches.
Du côté du réseau, les défenseurs doivent rechercher un trafic SMTP sortant inhabituel, des connexions à des domaines similaires à Alibaba Cloud et des diffusions UDP périodiques vers 255.255.255.255:6006. Sur l’hôte, ils doivent surveiller les binaires ELF obscurcis ou inconnus et les accès inattendus aux processus aux points de terminaison des métadonnées de l’instance.
Enfin, dans le cloud, la surveillance des requêtes du service de métadonnées et de l’utilisation anormale des informations d’identification basées sur les rôles, en particulier lorsque l’activité s’écarte du comportement normal de l’instance, peut être utile, ont indiqué les chercheurs.
