Proofpoint a observé une augmentation de la diffusion de logiciels malveillants via l'utilisation abusive des tunnels TryCloudflare. L'activité est motivée financièrement et fournit exclusivement des chevaux de Troie d'accès à distance (RAT). Depuis l'observation initiale, l'ensemble des menaces à l'origine des campagnes a modifié les tactiques, les techniques et les procédures pour tenter de contourner la détection et d'améliorer l'efficacité.Pour les développeurs de malwares, prendre le contrôle à distance de l'appareil d'un utilisateur est souvent le but ultime, surtout si l’attaquant veut voler des données ou contrôler un ordinateur à distance.
Un cheval de Troie d'accès à distance (RAT) est un outil d’accès à distance utilisé par les développeurs de logiciels malveillants pour obtenir un accès complet et à distance du système d'un utilisateur, y compris le contrôle de la souris et du clavier, l'accès aux fichiers et aux ressources du réseau.
Au lieu de détruire des fichiers ou de voler des données, un RAT donne aux attaquants le contrôle total d'un ordinateur de bureau ou d'un appareil mobile afin qu'ils puissent parcourir silencieusement les applications et les fichiers et contourner les mesures de sécurité courantes telles que les pare-feu, les systèmes de détection d'intrusion et les contrôles d'authentification.
Proofpoint suit un groupe de menaces cybercriminelles utilisant les tunnels Cloudflare pour diffuser des logiciels malveillants. Plus précisément, l'activité abuse de la fonction TryCloudflare qui permet à un attaquant de créer un tunnel unique sans créer de compte. Les tunnels sont un moyen d'accéder à distance à des données et des ressources qui ne se trouvent pas sur le réseau local, par exemple en utilisant un réseau privé virtuel (VPN) ou le protocole Secure Shell (SSH).
Observé pour la première fois en février 2024, le groupe a intensifié son activité de mai à juillet, la plupart des campagnes menant à Xworm, un cheval de Troie d'accès à distance (RAT), au cours des derniers mois.
Dans la plupart des campagnes, les messages contiennent une URL ou une pièce jointe menant à un fichier de raccourci Internet (.URL). Lorsqu'il est exécuté, il établit une connexion avec un partage de fichiers externe, généralement via WebDAV, pour télécharger un fichier LNK ou VBS. Une fois exécuté, le fichier LNK/VBS exécute un fichier BAT ou CMD qui télécharge un paquet d'installation Python et une série de scripts Python conduisant à l'installation du logiciel malveillant. Dans certains cas, la mise en scène des fichiers exploite le gestionnaire de protocole search-ms pour récupérer le LNK à partir d'un partage WebDAV. Généralement, dans les campagnes, un PDF inoffensif est affiché à l'utilisateur pour lui donner l'impression d'être légitime.
En juin et juillet, presque toutes les campagnes observées ont diffusé Xworm, mais les campagnes précédentes ont également diffusé AsyncRAT, VenomRAT, GuLoader et Remcos. Certaines campagnes aboutissent à plusieurs charges utiles de logiciels malveillants, chaque script Python unique conduisant à l'installation d'un logiciel malveillant différent.
Le volume des messages de la campagne varie de quelques centaines à quelques dizaines de milliers de messages, touchant des dizaines à des milliers d'organisations dans le monde. Outre l'anglais, les chercheurs ont observé des leurres en français, en espagnol et en allemand. Les campagnes Xworm, AsyncRAT et VenomRAT sont souvent plus volumineuses que les campagnes diffusant Remcos ou GuLoader. Les thèmes des leurres varient, mais ils portent généralement sur des sujets liés au monde des affaires, tels que les factures, les demandes de documents, les livraisons de colis et les impôts.
Si les tactiques, techniques et procédures (TTP) des campagnes restent cohérentes, l'acteur de la menace semble modifier différentes parties de la chaîne d'attaque afin d'accroître la sophistication et l'évasion de la défense. Par exemple, les campagnes initiales utilisaient peu ou pas d'obscurcissement dans leurs scripts d'aide. Les scripts comportaient souvent des commentaires détaillés sur la fonctionnalité du code. Toutefois, la situation a changé en juin, lorsque les acteurs de la menace ont commencé à incorporer de l'obscurcissement dans leur code.
Scripts sans obscurcissement
Scripts avec obscurcissement
L'utilisation abusive des tunnels TryCloudflare par les acteurs de la menace est devenue populaire en 2023 et semble augmenter parmi les acteurs de la menace cybercriminelle. Chaque utilisation des tunnels TryCloudflare génère un sous-domaine aléatoire sur trycloudflare[.]com, par exemple ride-fatal-italic-information[.]trycloudflare[.]com. Le trafic vers les sous-domaines est acheminé par proxy via Cloudflare vers le serveur local de l'opérateur.
Exemples de campagnes
Campagne AsyncRAT / Xworm 28 mai 2024
Proofpoint a observé une campagne le 28 mai 2024 diffusant AsyncRAT et Xworm. Dans cette campagne, des messages sur le thème des impôts contenaient des URL menant à un fichier .URL zippé. La campagne ciblait des organisations dans le domaine du droit et de la finance et comprenait moins de 50 messages au total.
Le fichier .URL pointait vers un fichier .LNK distant. S'il est exécuté, il conduit à un script d'aide CMD qui appelle PowerShell pour télécharger un paquetage Python zippé et des scripts Python. Le paquet Python et les scripts ont conduit à l'installation d'AsyncRAT et de Xworm.
Campagne AsyncRAT / Xworm 11 juillet 2024
Les chercheurs ont observé une autre campagne utilisant les tunnels Cloudflare pour distribuer AsyncRAT et Xworm le 11 juillet 2024. Cette campagne comprenait plus de 1 500 messages ciblant des organisations dans les domaines de la finance, de la fabrication, de la technologie et autres.
Il est intéressant de noter que dans cette campagne, les messages contenaient des pièces jointes HTML avec une requête search-ms qui pointait vers un fichier LNK. S'il est exécuté, il conduit à un fichier BAT obscurci qui invoque PowerShell pour télécharger un paquet d'installation Python et des scripts pour exécuter AsyncRAT et Xworm.
Attribution
Sur la base des tactiques, techniques et procédures (TTP) observées dans les campagnes, Proofpoint estime qu'elles peuvent être attribuées à un groupe d'activités connexes. Les chercheurs n'ont pas attribué cette activité à un acteur spécifique, mais les recherches se poursuivent.
Pourquoi c'est important
L'utilisation des tunnels Cloudflare permet aux acteurs de la menace d'utiliser une infrastructure temporaire pour étendre leurs opérations, ce qui leur donne la flexibilité nécessaire pour construire et démanteler des instances en temps voulu. Cela complique la tâche des défenseurs et des mesures de sécurité traditionnelles telles que l'utilisation de listes de blocage statiques. Les instances Cloudflare temporaires permettent aux attaquants de mettre en place des attaques à faible coût avec des scripts d'aide, avec une exposition limitée à la détection et aux efforts de démantèlement.
L'utilisation par les attaquants de scripts Python pour la diffusion de logiciels malveillants est remarquable. L'intégration de bibliothèques Python et d'un programme d'installation exécutable aux scripts Python permet de télécharger et d'exécuter les logiciels malveillants sur des hôtes sur lesquels Python n'était pas installé auparavant. Les organisations devraient restreindre l'utilisation de Python si elle n'est pas nécessaire aux fonctions des individus.
Ce n'est pas la première fois que les chercheurs observent des logiciels livrés avec des fichiers malveillants. Ces derniers mois, Proofpoint a observé des campagnes de diffusion de logiciels malveillants basés sur Java qui regroupent un JAR et le Java Runtime Environment (JRE) à l'intérieur d'un ZIP afin de s'assurer que le bon logiciel est installé avant d'exécuter le téléchargeur ou le dropper.
La chaîne d'attaque nécessite une interaction importante de la part de la victime afin de déclencher la charge utile finale, notamment en cliquant sur le lien malveillant, en double-cliquant sur plusieurs fichiers tels que les fichiers LNK ou VBS, et en décompressant les scripts compressés. Cela donne au destinataire de multiples occasions d'identifier une activité suspecte et de perturber la chaîne d'attaque avant qu'elle n'aboutisse.
Les acteurs de la menace utilisent de plus en plus WebDAV et Server Message Block (SMB) pour la mise en place et la livraison des charges utiles, car l'écosystème cybercriminel continue d'expérimenter différentes TTP. Les organisations devraient limiter l'accès aux services de partage de fichiers externes aux seuls serveurs connus et répertoriés.
Source : Proofpoint
Et vous ?
Pensez-vous que ce rapport est crédible ou pertinent ? Quel est votre avis sur le sujet ?Voir aussi :
Un courriel de phishing sur six est ouvert et le phishing par lien a été une réussite dans 11 % des cas, révèle un nouveau rapport de Proofpoint Des cybercriminels ciblent les développeurs via de faux entretiens d'embauche dans le but de les pousser à installer une porte dérobée en Python, exploitant leur confiance dans le processus de candidature Les conteneurs constituent l'ultime cheval de Troie, leurs avantages ne passant pas inaperçus aux yeux des attaquants, qui en tirent parti pour intensifier leurs propres opérations