Les pirates informatiques exploitent les tunnels Cloudflare et le DNS Fast-Flux pour masquer le malware GammaDrop
L’acteur malveillant connu sous le nom de Gamaredon a été observé en train d’exploiter les tunnels Cloudflare comme tactique pour dissimuler son infrastructure de préparation hébergeant un malware appelé GammaDrop.
Cette activité fait partie d’une campagne de spear-phishing en cours ciblant les entités ukrainiennes depuis au moins début 2024 et conçue pour introduire le malware Visual Basic Script, a déclaré Insikt Group de Recorded Future dans une nouvelle analyse.
La société de cybersécurité traque l’acteur malveillant sous le nom de BlueAlpha, également connu sous les noms d’Aqua Blizzard, Armageddon, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530 et Winterflounder. Le groupe, qui serait actif depuis 2014, est affilié au Service fédéral de sécurité russe (FSB).
« BlueAlpha a récemment commencé à utiliser les tunnels Cloudflare pour dissimuler l’infrastructure de préparation utilisée par GammaDrop , une technique de plus en plus populaire utilisée par les groupes de cybercriminels pour déployer des logiciels malveillants », a noté Insikt Group .
« BlueAlpha continue d’utiliser le système de noms de domaine (DNS) à flux rapide de l’infrastructure de commande et de contrôle (C2) GammaLoad pour compliquer le suivi et la perturbation des communications C2 afin de préserver l’accès aux systèmes compromis. »
L’utilisation de Cloudflare Tunnel par l’adversaire a déjà été documentée par la société de cybersécurité slovaque ESET en septembre 2024, dans le cadre d’attaques ciblant l’Ukraine et divers pays de l’OTAN, à savoir la Bulgarie, la Lettonie, la Lituanie et la Pologne.
Il a également qualifié le comportement des acteurs de la menace d’imprudent et pas particulièrement axé sur la furtivité, même s’ils s’efforcent « d’éviter d’être bloqués par des produits de sécurité et s’efforcent de maintenir l’accès aux systèmes compromis ».
« Gamaredon tente de préserver son accès en déployant simultanément plusieurs téléchargeurs simples ou portes dérobées », a ajouté ESET. « Le manque de sophistication des outils de Gamaredon est compensé par des mises à jour fréquentes et l’utilisation d’obfuscations qui changent régulièrement. »
/>Ces outils sont principalement conçus pour voler des données précieuses à partir d’applications Web exécutées dans des navigateurs Internet, des clients de messagerie et des applications de messagerie instantanée telles que Signal et Telegram, ainsi que pour télécharger des charges utiles supplémentaires et propager le malware via des clés USB connectées.
- PteroPSLoad, PteroX, PteroSand, PteroDash, PteroRisk et PteroPowder – Télécharger les charges utiles
- PteroCDrop – Supprimer les charges utiles de Visual Basic Script
- PteroClone – Distribuer des charges utiles à l’aide de l’utilitaire rclone
- PteroLNK – Armez les clés USB connectées
- PteroDig – Armez les fichiers LNK dans le dossier Desktop pour la persistance
- PteroSocks – Fournit une fonctionnalité de proxy SOCKS partielle
- PteroPShell, ReVBShell – Fonctionne comme un shell distant
- PteroPSDoor, PteroVDoor – Exfiltrer des fichiers spécifiques du système de fichiers
- PteroScreen – Capture et exfiltration de captures d’écran
- PteroSteal – Exfiltrer les informations d’identification stockées par les navigateurs Web
- PteroCookie – Exfiltre les cookies stockés par les navigateurs Web
- PteroSig – Exfiltrer les données stockées par l’application Signal
- PteroGram – Exfiltrer les données stockées par l’application Telegram
- PteroBleed – Exfiltrez les données stockées par les versions Web de Telegram et WhatsApp depuis Google Chrome, Microsoft Edge et Opera
- PteroScout – Exfiltrer les informations système
La dernière série d’attaques mise en évidence par Recorded Future consiste à envoyer des e-mails de phishing contenant des pièces jointes HTML, qui exploitent une technique appelée contrebande HTML pour activer le processus d’infection via un code JavaScript intégré.
Les pièces jointes HTML, une fois ouvertes, déposent une archive 7-Zip (« 56-27-11875.rar ») qui comprend un fichier LNK malveillant, qui utilise mshta.exe pour fournir GammaDrop, un dropper HTA chargé d’écrire sur le disque un chargeur personnalisé nommé GammaLoad, qui établit ensuite un contact avec un serveur C2 pour récupérer des logiciels malveillants supplémentaires.
L’artefact GammaDrop est récupéré à partir d’un serveur de préparation situé derrière un tunnel Cloudflare hébergé sur le domaine amsterdam-sheet-veteran-aka.trycloudflare[.]com.
De son côté, GammaLoad utilise des fournisseurs DNS sur HTTPS ( DoH ) tels que Google et Cloudflare pour résoudre l’infrastructure C2 lorsque le DNS traditionnel échoue. Il utilise également une technique DNS à flux rapide pour récupérer l’adresse C2 si sa première tentative de communication avec le serveur échoue.
« BlueAlpha va probablement continuer à perfectionner ses techniques d’évasion en exploitant des services légitimes largement utilisés comme Cloudflare, ce qui complique la détection des systèmes de sécurité traditionnels », a déclaré Recorded Future.
« Les améliorations continues apportées à la contrebande HTML et à la persistance basée sur le DNS poseront probablement des défis en constante évolution, en particulier pour les organisations dont les capacités de détection des menaces sont limitées. »