Un acteur de menace avancé avec un lien avec l’Inde a été observé en utilisant plusieurs fournisseurs de services cloud pour faciliter la collecte d’informations d’identification, la diffusion de logiciels malveillants et le commandement et le contrôle (C2).
La société d’infrastructure et de sécurité Web Cloudflare suit l’activité sous le nom Lemming bâcléqui est également appelé Le tigre et l’éléphant pêcheurs.
« Entre fin 2022 et aujourd’hui, SloppyLemming a régulièrement utilisé Cloudflare Workers, probablement dans le cadre d’une vaste campagne d’espionnage ciblant les pays d’Asie du Sud et de l’Est », a déclaré Cloudflare. dit dans une analyse.
SloppyLemming serait actif depuis au moins juillet 2021, avec des campagnes antérieures exploitant des logiciels malveillants tels que Ares RAT et WarHawk, ce dernier étant également lié à une équipe de pirates connue appelée SideWinder. L’utilisation d’Ares RAT, en revanche, a été liée à SideCopy, un acteur malveillant probablement d’origine pakistanaise.
Les cibles des activités de SloppyLemming couvrent les entités gouvernementales, chargées de l’application de la loi, de l’énergie, de l’éducation, des télécommunications et de la technologie situées au Pakistan, au Sri Lanka, au Bangladesh, en Chine, au Népal et en Indonésie.
Les chaînes d’attaque impliquent l’envoi d’e-mails d’hameçonnage ciblé à des cibles qui visent à inciter les destinataires à cliquer sur un lien malveillant en induisant un faux sentiment d’urgence, affirmant qu’ils doivent effectuer un processus obligatoire dans les 24 heures suivantes.
En cliquant sur l’URL, la victime est redirigée vers une page de collecte d’informations d’identification, qui sert ensuite de mécanisme permettant à l’acteur malveillant d’obtenir un accès non autorisé aux comptes de messagerie ciblés au sein des organisations qui l’intéressent.
« L’acteur utilise un outil personnalisé nommé CloudPhish pour créer un Cloudflare Worker malveillant afin de gérer la logique de journalisation des informations d’identification et l’exfiltration des informations d’identification de la victime vers l’acteur de la menace », a déclaré la société.
Certaines des attaques entreprises par SloppyLemming ont utilisé des techniques similaires pour capturer les jetons Google OAuth, ainsi que des archives RAR piégées (« CamScanner 06-10-2024 15.29.rar ») qui exploitent probablement une faille WinRAR (CVE-2023-38831) pour réaliser l’exécution de code à distance.
Le fichier RAR contient un exécutable qui, en plus d’afficher le document leurre, charge furtivement « CRYPTSP.dll », qui sert de téléchargeur pour récupérer un cheval de Troie d’accès à distance hébergé sur Dropbox.
Il convient de mentionner ici que la société de cybersécurité SEQRITE a détaillé une campagne analogue entreprise par les acteurs de SideCopy l’année dernière ciblant le gouvernement indien et les secteurs de la défense pour distribuer le RAT Ares en utilisant des archives ZIP nommées « DocScanner_AUG_2023.zip » et « DocScanner-Oct.zip » qui sont conçues pour déclencher la même vulnérabilité.
Une troisième séquence d’infection employée par SloppyLemming consiste à utiliser des leurres de spear-phishing pour conduire les cibles potentielles vers un faux site Web qui se fait passer pour le Punjab Information Technology Board (PITB) au Pakistan, après quoi elles sont redirigées vers un autre site contenant un fichier de raccourci Internet (URL).
Le fichier URL est intégré avec un code permettant de télécharger un autre fichier, un exécutable nommé PITB-JR5124.exe, à partir du même serveur. Le binaire est un fichier légitime utilisé pour charger une DLL malveillante nommée profapi.dll qui communique ensuite avec un Cloudflare Worker.
Ces URL Cloudflare Worker, a noté la société, agissent comme un intermédiaire, relayant les requêtes au domaine C2 réel utilisé par l’adversaire (« aljazeerak[.]en ligne”).
Cloudflare a déclaré avoir « observé des efforts concertés de la part de SloppyLemming pour cibler les services de police pakistanais et d’autres organismes chargés de l’application de la loi », ajoutant « qu’il existe des indications selon lesquelles l’acteur a ciblé des entités impliquées dans l’exploitation et la maintenance de l’unique installation nucléaire du Pakistan ».
Parmi les autres cibles des activités de collecte d’informations d’identification figurent les organisations gouvernementales et militaires du Sri Lanka et du Bangladesh et, dans une moindre mesure, les entités chinoises du secteur énergétique et universitaire.