Un acteur menaçant avancé ayant un lien avec l’Inde a été observé utilisant plusieurs fournisseurs de services cloud pour faciliter la collecte d’informations d’identification, la diffusion de logiciels malveillants et le commandement et contrôle (C2).
La société d’infrastructure Web et de sécurité Cloudflare suit l’activité sous le nom BâcléLemmingégalement appelé Outrider Tiger et Fishing Elephant.
“De fin 2022 à aujourd’hui, SloppyLemming a régulièrement utilisé Cloudflare Workers, probablement dans le cadre d’une vaste campagne d’espionnage ciblant les pays d’Asie du Sud et de l’Est”, a déclaré Cloudflare dans une analyse.
SloppyLemming est considéré comme actif depuis au moins juillet 2021, avec des campagnes antérieures exploitant des logiciels malveillants tels que Ares RAT et WarHawk, ce dernier étant également lié à une équipe de piratage connue appelée SideWinder. L’utilisation d’Ares RAT, en revanche, a été liée à SideCopy, un acteur menaçant probablement d’origine pakistanaise.
Les cibles de l’activité de SloppyLemming couvrent des entités gouvernementales, policières, énergétiques, éducatives, de télécommunications et technologiques situées au Pakistan, au Sri Lanka, au Bangladesh, en Chine, au Népal et en Indonésie.
Les chaînes d’attaque impliquent l’envoi d’e-mails de spear phishing à des cibles visant à inciter les destinataires à cliquer sur un lien malveillant en induisant un faux sentiment d’urgence, affirmant qu’ils doivent accomplir un processus obligatoire dans les prochaines 24 heures.
En cliquant sur l’URL, la victime accède à une page de collecte d’informations d’identification, qui sert ensuite de mécanisme permettant à l’acteur malveillant d’obtenir un accès non autorisé à des comptes de messagerie ciblés au sein des organisations qui l’intéressent.
“L’acteur utilise un outil personnalisé nommé CloudPhish pour créer un Cloudflare Worker malveillant afin de gérer la logique de journalisation des informations d’identification et l’exfiltration des informations d’identification de la victime vers l’acteur menaçant”, a indiqué la société.
Certaines des attaques entreprises par SloppyLemming ont exploité des techniques similaires pour capturer les jetons Google OAuth, ainsi que pour utiliser des archives RAR piégées (« CamScanner 06-10-2024 15.29.rar ») qui exploitent probablement une faille WinRAR (CVE-2023- 38831) pour réaliser l’exécution de code à distance.
Le fichier RAR contient un exécutable qui, en plus d’afficher le document leurre, charge furtivement « CRYPTSP.dll », qui sert de téléchargeur pour récupérer un cheval de Troie d’accès à distance hébergé sur Dropbox.
Il convient de mentionner ici que la société de cybersécurité SEQRITE a détaillé une campagne analogue entreprise par les acteurs de SideCopy l’année dernière ciblant le gouvernement indien et les secteurs de la défense pour distribuer l’Ares RAT à l’aide d’archives ZIP nommées “DocScanner_AUG_2023.zip” et “DocScanner-Oct.zip” qui sont conçues pour déclencher la même vulnérabilité.
Une troisième séquence d’infection employée par SloppyLemming consiste à utiliser des leurres de spear phishing pour diriger des cibles potentielles vers un faux site Web qui usurpe l’identité du Punjab Information Technology Board (PITB) au Pakistan, après quoi elles sont redirigées vers un autre site contenant un raccourci Internet (URL). déposer.
Le fichier URL est livré avec du code permettant de télécharger un autre fichier, un exécutable nommé PITB-JR5124.exe, à partir du même serveur. Le binaire est un fichier légitime utilisé pour charger une DLL malveillante nommée profapi.dll qui communique ensuite avec un Cloudflare Worker.
Ces URL Cloudflare Worker, a noté la société, agissent comme un intermédiaire, relayant les requêtes vers le domaine C2 réel utilisé par l’adversaire (« aljazeerak[.]en ligne”).
Cloudflare a déclaré avoir “observé les efforts concertés de SloppyLemming pour cibler les services de police pakistanais et d’autres organismes chargés de l’application des lois”, ajoutant “il y a des indications selon lesquelles l’acteur a ciblé des entités impliquées dans l’exploitation et la maintenance de l’unique centrale nucléaire du Pakistan”.
Certaines des autres cibles de l’activité de collecte de titres de compétences comprennent les organisations gouvernementales et militaires du Sri Lanka et du Bangladesh et, dans une moindre mesure, les entités du secteur énergétique et universitaire chinois.