BlueAlpha abuse du service de tunneling de Cloudflare pour l'infrastructure de transit de GammaDrop
Summary
BlueAlpha est un groupe de cybermenaces parrainé par l'État qui agit selon les directives du Service fédéral de sécurité de la fédération de Russie (FSB) et qui recoupe les groupes publiés Gamaredon, Shuckworm, Hive0051 et UNC530. BlueAlpha est actif depuis au moins 2014 et continue de cibler les organisations ukrainiennes par le biais de campagnes de spearphishing incessantes pour distribuer des malwares personnalisés. Depuis au moins octobre 2023, BlueAlpha a livré le malware VBScript personnalisé GammaLoad, permettant l'exfiltration de données, le vol d'identifiants et un accès persistant aux réseaux compromis.
BlueAlpha abuse du service de tunneling de Cloudflare pour l'infrastructure de transit de GammaDrop
BlueAlpha a récemment fait évoluer sa chaîne de diffusion de malware pour exploiter les tunnels Cloudflare afin de simuler les malwares GammaDrop. Cette tactique, popularisée par les groupes de menaces cybercriminelles, permet le déploiement de malwares.
Principaux résultats :
- BlueAlpha utilise les tunnels Cloudflare pour dissimuler son infrastructure de simulation GammaDrop, échappant ainsi aux mécanismes de détection de réseau traditionnels.
- Le groupe diffuse des malwares par le biais de la contrebande HTML, en s'appuyant sur des techniques sophistiquées pour contourner les systèmes de sécurité des messageries.
- Le flux rapide DNS complique les efforts de suivi et de perturbation des communications de commande et de contrôle (C2).
Comment BlueAlpha exploite les tunnels de Cloudflare
Cloudflare propose le service de tunneling gratuitement avec l'outil TryCloudflare. Cet outil permet à quiconque de créer un tunnel utilisant un sous-domaine de trycloudflare.com généré de manière aléatoire et de faire en sorte que toutes les demandes adressées à ce sous-domaine soient acheminées par procuration via le réseau Cloudflare vers le serveur Web fonctionnant sur cet hôte. BlueAlpha utilise cela pour dissimuler l'infrastructure de simulation utilisée pour déployer GammaDrop.
Contrebande HTML
La contrebande HTML permet de diffuser des malwares, par le biais de JavaScript, intégrés dans des pièces jointes HTML. BlueAlpha a perfectionné cette méthode avec des modifications subtiles pour éviter toute détection. Des échantillons récents montrent des changements dans les méthodes de désobfuscation, telles que l'utilisation de l'événement HTML onerror pour exécuter du code malveillant.
Malware GammaDrop et GammaLoad
La suite de malwares de BlueAlpha est centrale dans ses campagnes :
- GammaDrop : agit comme un compte-gouttes, en écrivant GammaLoad sur le disque et en assurant la continuité
- GammaLoad : un chargeur personnalisé capable de rediriger son C2 et d'exécuter d'autres malwares
BlueAlpha utilise des techniques de dissimulation, à savoir de grandes quantités de code indésirable et des noms de variables aléatoires pour compliquer l'analyse.
Mitigation Strategies
- Améliorer la sécurité des e-mails : déployez des solutions pour inspecter et bloquer les techniques de contrebande HTML. Identifiez les pièces jointes avec des événements HTML suspects tels que onerror.
- Restreindre l'exécution de fichiers malveillants : mettez en œuvre des politiques de contrôle des applications pour bloquer l'utilisation malveillante de mshta.exe et des fichiers .lnk non fiables .
- Surveiller le trafic réseau : définissez des règles pour signaler les demandes adressées aux sous-domaines de trycloudflare.com et les connexions DNS sur HTTPS (DoH) non autorisées.
- Tirer parti de la Threat Intelligence : utilisez les solutions d'atténuation sur les malwares de Recorded Future pour analyser les fichiers suspects et rester informé des menaces émergentes.
Outlook
L'utilisation continue par BlueAlpha de services légitimes comme Cloudflare montre son engagement à affiner ses techniques d'évasion. Les organisations doivent rester vigilantes et investir dans des capacités avancées de détection et de réponse pour contrer ces menaces sophistiquées.
To read the entire analysis, click here to download the report as a PDF.
Appendix A — Indicators of Compromise
|
Domains: else-accommodation-allowing-throws.trycloudflare[.]com cod-identification-imported-carl.trycloudflare[.]com amsterdam-sheet-veteran-aka.trycloudflare[.]com benjamin-unnecessary-mothers-configured.trycloudflare[.]com longitude-powerpoint-geek-upgrade.trycloudflare[.]com attribute-homework-generator-lovers.trycloudflare[.]com infected-gc-rhythm-yu.trycloudflare[.]com Adresses IP : 178.130.42[.]94 Hachages : 3afc8955057eb0bae819ead1e7f534f6e5784bbd5b6aa3a08af72e187b157c5b 93aa6cd0787193b4ba5ba6367122dee846c5d18ad77919b261c15ff583b0ca17 b95eea2bee2113b7b5c7af2acf6c6cbde05829fab79ba86694603d4c1f33fdda |
Appendix B — Mitre ATT&CK Techniques
| Tactic: Technique | ATT&CK Code |
| Accès initial : pièce jointe de spearphishing | T1566.001 |
| Exécution : Visual Basic | T1059.005 |
| Exécution : JavaScript | T1059.007 |
| Exécution : fichier malveillant | T1204.002 |
| Persistance : clés d'exécution du registre / dossier de démarrage | T1547.001 |
| Contournement de la défense : contrebande HTML | T1027.006 |
| Contournement de la défense : fichier chiffré/codé | T1027.013 |
| Commandement et contrôle : protocoles Web | T1071.001 |
| Commandement et contrôle : Flux rapides DNS | T1568.001 |
Related