LEBIGDATA.FR I.A, Cloud & Cybersécurité
Depuis mai 2024, un groupe de hackers, baptisé CloudSorcerer, attire l’attention des experts en cybersécurité. Ce collectif vise principalement les institutions gouvernementales russes. Il exploite des technologies cloud avancées pour orchestrer leurs attaques.
Qui est CloudSorcerer ?
CloudSorcerer est un groupe de menaces persistantes avancées (APT) jamais documenté auparavant. Selon Kaspersky, qui a découvert ce groupe en mai 2024, CloudSorcerer se distingue par des opérations ciblées utilisant les services cloud pour le commandement et le contrôle (C2) et l’exfiltration de données.
Notons que leur procédé ressemble à celui du groupe CloudWizard. En revanche, les différences dans le code source du malware sont claires et significatives. Après tout, ces différences révèlent la dangerosité unique de CloudSorcerer.
Attaques invisibles dans le Cloud
Les offensives de CloudSorcerer reposent sur un logiciel de collecte de données novateur et des tactiques d’évasion élaborées pour effacer leurs traces.
CloudSorcerer utilise habilement les ressources cloud de Microsoft Graph, Yandex Cloud et Dropbox pour son infrastructure C2. En renforçant ainsi sa résilience et ses capacités d’évasion, il devient redoutablement efficace.
Notons que, pour récupérer des données C2, il ne se contente pas de GitHub. Il cible également des services d’hébergement cloud en Russie, comme hxxps://my.mail[.]ru/.
Un porte-parole de Kaspersky a déclaré : « Il s’agit d’un outil de cyberespionnage sophistiqué utilisé pour la surveillance furtive, la collecte de données et l’exfiltration via l’infrastructure cloud Microsoft Graph, Yandex Cloud et Dropbox ».
En réalité, cette intégration dans des plateformes apparemment innocentes démontre une stratégie sophistiquée et rusée, presque comme un poisson habile dans son élément, naviguant sans être détecté.
Le malware utilise ces plateformes, non seulement comme serveurs de commande et de contrôle, mais aussi pour l’accès via des API qui utilisent des jetons d’authentification.
La méthode exacte utilisée par CloudSorcerer pour infiltrer ses cibles reste mystérieuse. Néanmoins, une fois qu’ils obtiennent l’accès initial, ils déploient un binaire exécutable portable basé sur C.
Ce malware fonctionne comme une porte dérobée et peut s’adapter selon le processus hôte. Que ce soit mspaint.exe, msiexec.exe, ou des processus contenant « navigateur », le malware ajuste son comportement.
Kaspersky a noté, « La faculté du malware à ajuster dynamiquement son comportement selon le processus hôte, couplée à son utilisation de communications interprocessus complexes via des voies Windows, accentue encore plus son raffinement ».
CloudSorcerer : jusqu’où s’étend la menace ?
La menace de CloudSorcerer dépasse largement les frontières russes. Proofpoint, une autre société de sécurité, a découvert une cyberattaque similaire aux États-Unis.
Pour que leur attaque passe inaperçue, les hackers ont utilisé un compte de messagerie gratuit. Ce compte se faisait passer pour un groupe de réflexion américain. Ils ont ensuite envoyé une fausse invitation à un événement.
Les victimes, après avoir téléchargé et ouvert le fichier ZIP, ont trouvé un dossier contenant trois fichiers LNK. Ces fichiers étaient capables d’initier une série d’actions malveillantes.
Proofpoint a expliqué, « Si le fichier ZIP est téléchargé et ouvert, l’utilisateur voit un dossier et trois fichiers LNK, qui peuvent démarrer la chaîne d’activités malveillantes ». En fait, ces pirates informatiques ne reculent devant rien pour atteindre leurs buts.
Restez à la pointe de l'information avec LEBIGDATA.FR !
- Partager l'article :
