L’Utilisation Croissante des Services Cloud par les Cybercriminels
Une Nouvelle Tactique des Espions Cybernétiques
Les cybercriminels soutenus par des États exploitent de plus en plus les services cloud légitimes pour cibler leurs victimes, selon les chercheurs en sécurité de Symantec. Au cours des derniers mois, trois opérations de ce type ont été identifiées, accompagnées de nouveaux outils de vol de données et de logiciels malveillants en développement.
Les Avantages des Services Cloud pour les Cybercriminels
Lors d’une présentation à la conférence Black Hat, Marc Elias, un expert en menaces chez Symantec, a expliqué que les criminels choisissent les services cloud pour des raisons similaires à celles des entreprises légitimes. En plus de la facilité d’utilisation, ces plateformes permettent de masquer leurs activités sur les réseaux des victimes.
« Un des principaux avantages est que les groupes soutenus par des États n’ont aucun coût d’infrastructure », a précisé Elias. « Ils peuvent créer des comptes gratuits sur des services comme Google Drive ou Microsoft, sans avoir à investir dans l’infrastructure. »
Des Campagnes Malveillantes Récentes
Parmi les campagnes récentes, Symantec a identifié un logiciel malveillant appelé « Grager », utilisé contre des organisations à Taïwan, Hong Kong et au Vietnam en avril. Ce malware communique avec le serveur de commande de l’attaquant via l’API Graph de Microsoft, hébergée sur OneDrive.
Les attaquants derrière Grager ont enregistré un domaine malveillant imitant le logiciel 7-Zip, redirigeant les victimes vers ce site via des moteurs de recherche. « C’était une chaîne d’infection très astucieuse, les attaquants ont fait preuve de discrétion », a ajouté Elias.
Liens avec des Groupes de Menaces Nationaux
Symantec a publié des recherches sur Grager et d’autres campagnes d’États-nations utilisant des outils cloud. Ils ont noté des liens potentiels avec un groupe connu sous le nom de UNC5330, soupçonné d’être lié au gouvernement chinois. Le domaine hébergeant Grager est un URL typographiquement erroné, utilisé pour piéger les utilisateurs cherchant le véritable outil d’archivage de fichiers 7-Zip.
Une fois téléchargé, le malware installe une version trojanisée de 7-Zip, ainsi qu’un fichier malveillant nommé epdevmgr.dll et le malware Tonerjam, en plus de la porte dérobée Grager.
Développement de Nouveaux Malwares
En mars, l’équipe d’Elias a découvert un autre backdoor en cours de développement, nommé « Moon_Tag ». Ce malware, basé sur un code publié dans un groupe Google, permet également de communiquer avec l’API Graph. Symantec a attribué Moon_Tag à un groupe de langue chinoise, en raison de l’infrastructure utilisée.
Autres Découvertes Alarmantes
Récemment, Symantec a détecté un autre backdoor appelé Onedrivetools, ciblant des entreprises de services informatiques aux États-Unis et en Europe. Ce logiciel malveillant télécharge un second payload stocké sur OneDrive après avoir authentifié l’accès à Graph AI. Le payload principal provient d’un fichier disponible publiquement sur GitHub.
Ce malware crée un nouveau dossier dans OneDrive pour chaque ordinateur compromis et télécharge un fichier qui alerte les attaquants d’une nouvelle infection. Il permet également aux criminels d’accéder aux fichiers des victimes, qu’ils exfiltrent ensuite via OneDrive.
Une Tendance en Croissance
Symantec a observé que ces attaques utilisent un outil de tunneling, Whipweave, qui semble être basé sur le projet VPN open source chinois Free Connect (FCN). Cela permet de masquer davantage le trafic malveillant.
« Au cours des deux dernières années, nous avons constaté une augmentation significative des groupes APT soutenus par des États utilisant des services cloud pour mener leurs campagnes de manière discrète », a averti Elias, ajoutant que cette tendance devrait se poursuivre en raison des avantages qu’elle offre aux attaquants.
Pour aider les défenseurs des réseaux, Symantec a également publié une liste d’indicateurs de compromission et des tactiques, techniques et procédures (TTP) utilisées par les attaquants.
