Dans sa dernière campagne de menaces persistantes avancées, un groupe APT soutenu par la Russie, abuse des tunnels CloudFlare pour diffuser son malware propriétaire GammaLoad. Identifié sous le nom de BlueAlpha, il a été observé par l’entreprise de cybersécurité Insikt Group alors qu’il exploitait le service de tunnel officiel pour diffuser des malwares en vue de l'exfiltration de données, le vol d'identifiant et l'accès persistant à des réseaux compromis. « BlueAlpha utilise les tunnels Cloudflare pour dissimuler l’infrastructure de GammaDrop, échappant ainsi aux mécanismes traditionnels de détection des réseaux », ont expliqué les chercheurs d'Insikt dans une note.

« Le groupe diffuse des malware en exploitant la technique dite du HTML Smuggling, ou contrebande de HTML, en s'appuyant sur des techniques sophistiquées pour contourner les systèmes de sécurité du courrier électronique ». BlueAlpha, dont les activités se recoupent avec celles de groupes publiquement déclarés comme Gameredon, Shuckworm et Armageddon, est un groupe qui agit probablement pour le compte du FSB (les services secrets russes).

Les tunnels Cloudflare détournés pour la diffusion de malwares

Le service gratuit de tunneling de Cloudflare propose aux utilisateurs de créer un tunnel en utilisant un sous-domaine généré de manière aléatoire à partir de trycloudflare.com. Ce tunnel dirige tout le trafic arrivant à ce sous-domaine via le réseau de Cloudflare vers un serveur fonctionnant localement. « D’après nos observations, BlueAlpha a utilisé cette fonction pour dissimuler l’infrastructure qui lui sert à déployer le logiciel malveillant GammaDrop », indiquent les chercheurs.

Ces derniers ont également pu surprendre le groupe en train d'ajuster légèrement la technique populaire de diffusion de logiciels malveillants dite de HTML Smuggling ou contrebande de HTML, laquelle consiste à diffuser le logiciel malveillant en cachant le JavaScript malveillant dans des pièces jointes HTML, afin d'éviter la détection. « Des échantillons récents montrent des changements dans les méthodes de désobfuscation, comme l'utilisation de l'événement HTML onerror pour exécuter un code malveillant », ont ajouté les chercheurs. GammaDrop agit comme un dropper, et il écrit GammaLoad sur le disque pour assurer la persistance.

Renforcer la sécurité du courrier électronique et du réseau

Les chercheurs recommandent de déployer des solutions pour inspecter et bloquer les techniques de contrebande de HTML afin de signaler les pièces jointes présentant des événements HTML suspects comme onerror. Les politiques de contrôle qui peuvent bloquer l'exécution de fichiers malveillants et les connexions DNS-over-HTTPS (DoH) non autorisées pourraient également contribuer à contrer ces menaces.

« L'utilisation continue par BlueAlpha de services officiels comme Cloudflare montre que le groupe poursuit ses efforts pour affiner ses techniques d'évasion », ont indiqué les chercheurs. « Les entreprises doivent rester vigilantes et investir dans des capacités de détection et de réponse avancées pour lutter contre ces menaces sophistiquées. »