Campagne malware en cours exploitant des infrastructures de cloud public

0
210

Une campagne de malwares en cours a récemment été documentée par le groupe Talos de Cisco. Selon ses experts, elle exploite des infrastructures de cloud public, comme les services cloud AWS d’Amazon et Azure de Microsoft. À la vue de cette attaque, les cybercriminels optent désormais pour une infrastructure d’attaque entièrement dynamique, afin de contourner la distribution initiale et la détection d’accès.

Tribune – Dirk Schrader, Global VP of Security Research chez NNT, à présent une société Netwrix, fait le commentaire suivant :

« Les cybercriminels propageant des malwares via mails de phishing qui contiennent des pièces jointes vérolées n’ont rien de nouveau. C’est la technique utilisée pour “entrer” dans le réseau qui diffère ici. Tout d’abord, le recours à des instances de cloud public rend difficile l’identification du trafic IP malveillant pour les fournisseurs de cloud et les utilisateurs. De plus, les hackers exécutent un schéma de nom de domaine dynamique conçu pour rendre inutiles les filtres basés sur DNS.

La campagne analysée par Talos semble se concentrer sur l’Amérique du Nord, Singapour et l’Italie, mais elle pourrait s’éteindre à d’autres régions. Il se peut que la formulation et le langage utilisés dans les mails de phishing soient plus efficaces dans les zones actuellement visées.

Comme les méthodes de prévention habituelles sont réduites avec cette campagne, les organisations doivent améliorer leurs capacités à détecter toute activité malveillante. Selon Talos, a recours à des chevaux de Troie d’accès à distance (ou RAT pour remote access trojan) – tels que NanoCore, NetWire ou AsyncRAT – pour se connecter aux instances cloud et pour télécharger des ressources supplémentaires à partir de celles-ci. Ils sont téléchargés sur l’appareil à l’aide de commandes Powershell, qui marque le premier point de détection à surveiller. Toute activité de Powershell par un utilisateur ordinaire doit donc être surveillée, si elle n’est pas désactivée par les paramètres de sécurité.

Si une telle activité est détectée, une organisation peut exécuter des étapes de correction prédéfinies ; telles que des annulations ou elle une mise en quarantaine du système affecté pour contenir la propagation. Si cela n’est pas en place, les téléchargements suivants et la modification des paramètres de registre peuvent être détectés à l’aide d’outil assurant l’intégrité des fichiers. En outre, des solutions complètes de sécurité AD et de gouvernance de l’accès aux données sont à même d’empêcher les cybercriminels de chiffrer les données.

Cette campagne confirme également l’une des tendances de cybersécurité de 2022, à savoir que les attaquants utiliseront une infrastructure piratée comme des appareils non gérés dans les réseaux domestiques, car elle est plus facile à infecter qu’un environnement informatique d’entreprise sécurisé par des professionnels. En effet, à mesure que la puissance de traitement et de la connectivité de la bande passante augmentent dans les résidences, les réseaux domestiques deviendront plus attrayants pour les cybercriminels. En infectant de nombreux appareils, ils pourront ainsi modifier dynamiquement les adresses IP ou même les noms de domaine pendant les campagnes de malware, contrecarrant les défenses courantes comme le blocage IP et le filtrage DNS. Les équipes informatiques doivent donc garder ce nouveau vecteur de menace à l’esprit lorsqu’elles examinent leurs stratégies de sécurité et leurs plans de réponse aux incidents. De plus, il faut accroître la sensibilisation des utilisateurs et l’adoption des meilleures pratiques afin de limiter l’erreur humaine. »