Posté le août 17, 2023 à 7:12
LES HACKERS DISSIMULENT DES LOGICIELS MALVEILLANTS DANS DES SERVICES LÉGITIMES TELS QUE SLACK ET TRELLO
Une analyse récente a révélé que sur plus de 400 familles de logiciels malveillants déployées au cours des deux dernières années, plus d’un quart d’entre elles exploitaient des services web légitimes faisant partie de l’infrastructure. Ces exploits malveillants ont permis aux hackers de ne pas être détectés et ont rendu plus difficile la défense des réseaux par les outils de sécurité.
Des hackers dissimulent des logiciels malveillants dans Slack et Trello
Les hackers cherchent toujours des moyens d’abuser des services web légitimes pour mener leurs campagnes. L’une des techniques les plus répandues consiste à intégrer ces campagnes dans des applications populaires afin d’éviter toute détection.
Une analyse menée par le groupe Insikt de Recorded Future a classé les différents types de logiciels malveillants utilisés pour abuser de ces services et la manière dont ces logiciels malveillants ont été utilisés. L’analyse vise à aider les personnes chargées de défendre les réseaux à comprendre comment les services sont utilisés et détournés dans les environnements existants.
Les chercheurs ont par ailleurs constaté qu’un mécanisme de défense efficace contre l’utilisation abusive des services Internet légitimes nécessitait une meilleure approche. Il est également nécessaire de comprendre comment l’abus de ces services se produit selon les différentes catégories de logiciels malveillants et les groupes de hackers.
Julian-Ferdinand Vogele, l’un des analystes ayant participé à la recherche, a déclaré : « L’utilisation de ces connaissances permet de déterminer les services à signaler ou à bloquer, de développer des stratégies de détection, d’identifier de manière proactive les services susceptibles d’être abusés et d’utiliser des détections comportementales avancées, tout en conciliant les exigences opérationnelles et de sécurité d’une organisation. »
Les plateformes de stockage en nuage enregistrent généralement le plus grand nombre de violations. Les autres services susceptibles de faire l’objet de telles campagnes sont les services de courrier électronique, les applications de messagerie et les plateformes de médias sociaux. Pastebin, Google Drive et Dropbox font également l’objet d’abus.
Cependant, Telegram est le service le plus couramment utilisé dans ces campagnes. Discord a aussi suivi le mouvement. Selon les chercheurs, Telegram et Discord sont des services gratuits largement utilisés dans les environnements des victimes et dans l’écosystème cybercriminel. Selon les chercheurs, la forte utilisation de ces services les a rendus difficiles à bloquer, et ils se sont également vantés d’avoir des API conviviales et faciles à utiliser.
Parmi les autres plateformes de messagerie dont les hackers abusent également, on trouve Slack, qui est utilisé comme plateforme de commande et de contrôle par les hackers. Selon l’analyse, les plateformes de médias sociaux sont également la quatrième catégorie de services la plus utilisée.
L’une des plateformes ciblées est Steam, une plateforme communautaire et de vente de jeux vidéo créée par Valve. Steam s’est associé à Telegram pour déployer le Vidar Stealer, selon un article publié par Emerging Threats. Emerging Threats indique qu’il est essentiel que les utilisateurs aient la possibilité de partager des informations par l’intermédiaire de leur profil.
Des hackers Russes attribués à une campagne récente
Les acteurs de la menace qui mènent des campagnes par l’intermédiaire de Slack sont liés au Service de renseignement extérieur Russe (SVR). En janvier, un rapport de Recorded Future notait qu’un groupe de hackers tracé comme BlueBravo/APT29/Nobellium s’appuyait sur Notion pour mener ses opérations.
Les hackers abusaient de l’API Notion pour effectuer des communications de commande et de contrôle à l’aide d’un logiciel malveillant connu sous le nom de GraphicalNeutrino. Ce logiciel malveillant permettait la diffusion d’autres logiciels malveillants et l’utilisation d’une base de données sur la plateforme pour stocker des informations sur la victime et mettre en scène les charges utiles utilisées pour les téléchargements.
APT29 est un acteur de la menace soutenu par la Russie, connu pour ses campagnes de cyberespionnage. Le groupe a précédemment été détecté comme utilisant le logiciel de gestion de projet Trello avec des logiciels malveillants prenant en charge la collecte et l’exfiltration de données sur des cibles et la livraison de logiciels malveillants à ces cibles. Le groupe a également mené des campagnes de piratage contre Google Drive et Dropbox.
Les données indiquent également que les voleurs d’informations suscitent également de l’intérêt. Les infostealers sont conçus pour voler les identifiants de connexion, les données financières et d’autres détails personnels afin de sécuriser les réseaux compromis et l’accès aux comptes. Les chercheurs ont indiqué que 37 % des familles de logiciels malveillants infostealers abusant des services ont été détectées par Recorded Future.
Selon les chercheurs, les voleurs d’informations sont un élément clé de l’écosystème de la cybercriminalité en pleine évolution. Ces outils nécessitent une infrastructure minimale et sont vendus sur les forums de cybercriminalité à des opérateurs qui ne disposent pas de l’expertise technique nécessaire. La facilité de mise en place de l’infrastructure est un argument de vente important pour les autres cybercriminels.
Toutefois, les chercheurs ont encore déclaré que l’absence d’analyse approfondie des abus commis sur ces services rendait difficile l’établissement de conclusions exhaustives. Néanmoins, des indicateurs positifs ont montré que ce niveau d’abus augmentait, notamment un rythme d’innovation rapide de la part des groupes de pirates parrainés par l’État. L’innovation comprend des mises à jour de logiciels malveillants pour prendre en charge les fonctionnalités de différents services.
Selon les chercheurs, on s’attend à une augmentation de l’utilisation d’infrastructures et de méthodes sophistiquées. Ils s’attendent également à ce que les groupes d’acteurs de menaces persistantes avancées restent en tête dans ce domaine, ce qui pourrait par la suite avoir un impact sur les hackers moins sophistiqués.