Proofpoint a observ une augmentation de la diffusion de logiciels malveillants via l’utilisation abusive des tunnels TryCloudflare. L’activit est motive financirement et fournit exclusivement des chevaux de Troie d’accs distance (RAT). Depuis l’observation initiale, l’ensemble des menaces l’origine des campagnes a modifi les tactiques, les techniques et les procdures pour tenter de contourner la dtection et d’amliorer l’efficacit.
Pour les dveloppeurs de malwares, prendre le contrle distance de l’appareil d’un utilisateur est souvent le but ultime, surtout si lattaquant veut voler des donnes ou contrler un ordinateur distance.
Un cheval de Troie d’accs distance (RAT) est un outil daccs distance utilis par les dveloppeurs de logiciels malveillants pour obtenir un accs complet et distance du systme d’un utilisateur, y compris le contrle de la souris et du clavier, l’accs aux fichiers et aux ressources du rseau.
Au lieu de dtruire des fichiers ou de voler des donnes, un RAT donne aux attaquants le contrle total d’un ordinateur de bureau ou d’un appareil mobile afin qu’ils puissent parcourir silencieusement les applications et les fichiers et contourner les mesures de scurit courantes telles que les pare-feu, les systmes de dtection d’intrusion et les contrles d’authentification.
Proofpoint suit un groupe de menaces cybercriminelles utilisant les tunnels Cloudflare pour diffuser des logiciels malveillants. Plus prcisment, l’activit abuse de la fonction TryCloudflare qui permet un attaquant de crer un tunnel unique sans crer de compte. Les tunnels sont un moyen d’accder distance des donnes et des ressources qui ne se trouvent pas sur le rseau local, par exemple en utilisant un rseau priv virtuel (VPN) ou le protocole Secure Shell (SSH).
Observ pour la premire fois en fvrier 2024, le groupe a intensifi son activit de mai juillet, la plupart des campagnes menant Xworm, un cheval de Troie d’accs distance (RAT), au cours des derniers mois.
Dans la plupart des campagnes, les messages contiennent une URL ou une pice jointe menant un fichier de raccourci Internet (.URL). Lorsqu’il est excut, il tablit une connexion avec un partage de fichiers externe, gnralement via WebDAV, pour tlcharger un fichier LNK ou VBS. Une fois excut, le fichier LNK/VBS excute un fichier BAT ou CMD qui tlcharge un paquet d’installation Python et une srie de scripts Python conduisant l’installation du logiciel malveillant. Dans certains cas, la mise en scne des fichiers exploite le gestionnaire de protocole search-ms pour rcuprer le LNK partir d’un partage WebDAV. Gnralement, dans les campagnes, un PDF inoffensif est affich l’utilisateur pour lui donner l’impression d’tre lgitime.
En juin et juillet, presque toutes les campagnes observes ont diffus Xworm, mais les campagnes prcdentes ont galement diffus AsyncRAT, VenomRAT, GuLoader et Remcos. Certaines campagnes aboutissent plusieurs charges utiles de logiciels malveillants, chaque script Python unique conduisant l’installation d’un logiciel malveillant diffrent.
Le volume des messages de la campagne varie de quelques centaines quelques dizaines de milliers de messages, touchant des dizaines des milliers d’organisations dans le monde. Outre l’anglais, les chercheurs ont observ des leurres en franais, en espagnol et en allemand. Les campagnes Xworm, AsyncRAT et VenomRAT sont souvent plus volumineuses que les campagnes diffusant Remcos ou GuLoader. Les thmes des leurres varient, mais ils portent gnralement sur des sujets lis au monde des affaires, tels que les factures, les demandes de documents, les livraisons de colis et les impts.
Si les tactiques, techniques et procdures (TTP) des campagnes restent cohrentes, l’acteur de la menace semble modifier diffrentes parties de la chane d’attaque afin d’accrotre la sophistication et l’vasion de la dfense. Par exemple, les campagnes initiales utilisaient peu ou pas d’obscurcissement dans leurs scripts d’aide. Les scripts comportaient souvent des commentaires dtaills sur la fonctionnalit du code. Toutefois, la situation a chang en juin, lorsque les acteurs de la menace ont commenc incorporer de l’obscurcissement dans leur code.
Scripts sans obscurcissement
Scripts avec obscurcissement
L’utilisation abusive des tunnels TryCloudflare par les acteurs de la menace est devenue populaire en 2023 et semble augmenter parmi les acteurs de la menace cybercriminelle. Chaque utilisation des tunnels TryCloudflare gnre un sous-domaine alatoire sur trycloudflare[.]com, par exemple ride-fatal-italic-information[.]trycloudflare[.]com. Le trafic vers les sous-domaines est achemin par proxy via Cloudflare vers le serveur local de l’oprateur.
Exemples de campagnes
Campagne AsyncRAT / Xworm 28 mai 2024
Proofpoint a observ une campagne le 28 mai 2024 diffusant AsyncRAT et Xworm. Dans cette campagne, des messages sur le thme des impts contenaient des URL menant un fichier .URL zipp. La campagne ciblait des organisations dans le domaine du droit et de la finance et comprenait moins de 50 messages au total.
Le fichier .URL pointait vers un fichier .LNK distant. S’il est excut, il conduit un script d’aide CMD qui appelle PowerShell pour tlcharger un paquetage Python zipp et des scripts Python. Le paquet Python et les scripts ont conduit l’installation d’AsyncRAT et de Xworm.
Campagne AsyncRAT / Xworm 11 juillet 2024
Les chercheurs ont observ une autre campagne utilisant les tunnels Cloudflare pour distribuer AsyncRAT et Xworm le 11 juillet 2024. Cette campagne comprenait plus de 1 500 messages ciblant des organisations dans les domaines de la finance, de la fabrication, de la technologie et autres.
Il est intressant de noter que dans cette campagne, les messages contenaient des pices jointes HTML avec une requte search-ms qui pointait vers un fichier LNK. S’il est excut, il conduit un fichier BAT obscurci qui invoque PowerShell pour tlcharger un paquet d’installation Python et des scripts pour excuter AsyncRAT et Xworm.
Attribution
Sur la base des tactiques, techniques et procdures (TTP) observes dans les campagnes, Proofpoint estime qu’elles peuvent tre attribues un groupe d’activits connexes. Les chercheurs n’ont pas attribu cette activit un acteur spcifique, mais les recherches se poursuivent.
Pourquoi c’est important
L’utilisation des tunnels Cloudflare permet aux acteurs de la menace d’utiliser une infrastructure temporaire pour tendre leurs oprations, ce qui leur donne la flexibilit ncessaire pour construire et dmanteler des instances en temps voulu. Cela complique la tche des dfenseurs et des mesures de scurit traditionnelles telles que l’utilisation de listes de blocage statiques. Les instances Cloudflare temporaires permettent aux attaquants de mettre en place des attaques faible cot avec des scripts d’aide, avec une exposition limite la dtection et aux efforts de dmantlement.
L’utilisation par les attaquants de scripts Python pour la diffusion de logiciels malveillants est remarquable. L’intgration de bibliothques Python et d’un programme d’installation excutable aux scripts Python permet de tlcharger et d’excuter les logiciels malveillants sur des htes sur lesquels Python n’tait pas install auparavant. Les organisations devraient restreindre l’utilisation de Python si elle n’est pas ncessaire aux fonctions des individus.
Ce n’est pas la premire fois que les chercheurs observent des logiciels livrs avec des fichiers malveillants. Ces derniers mois, Proofpoint a observ des campagnes de diffusion de logiciels malveillants bass sur Java qui regroupent un JAR et le Java Runtime Environment (JRE) l’intrieur d’un ZIP afin de s’assurer que le bon logiciel est install avant d’excuter le tlchargeur ou le dropper.
La chane d’attaque ncessite une interaction importante de la part de la victime afin de dclencher la charge utile finale, notamment en cliquant sur le lien malveillant, en double-cliquant sur plusieurs fichiers tels que les fichiers LNK ou VBS, et en dcompressant les scripts compresss. Cela donne au destinataire de multiples occasions d’identifier une activit suspecte et de perturber la chane d’attaque avant qu’elle n’aboutisse.
Les acteurs de la menace utilisent de plus en plus WebDAV et Server Message Block (SMB) pour la mise en place et la livraison des charges utiles, car l’cosystme cybercriminel continue d’exprimenter diffrentes TTP. Les organisations devraient limiter l’accs aux services de partage de fichiers externes aux seuls serveurs connus et rpertoris.
Source : Proofpoint
Et vous ?
Pensez-vous que ce rapport est crdible ou pertinent ?
Quel est votre avis sur le sujet ?
Voir aussi :