Une menace persistante avancée (APT) récemment découverte fournit un exemple particulièrement significatif de la manière dont plusieurs services en nuage peuvent être combinés au sein d'une même chaîne d'attaque pour ajouter des niveaux de sophistication et d'évasion.
CloudSorcerer est le nom que les chercheurs de Kaspersky ont inventé pour décrire un acteur de menace avancée ciblant les entités gouvernementales russes. Comme son nom l'indique, l'une des caractéristiques de cette APT est l'exploitation de plusieurs services cloud légitimes pour héberger l'infrastructure de commandement et de contrôle (C2) et la zone de dépôt des données exfiltrées.
En particulier, le module C2 du logiciel malveillant se connecte à un dépôt GitHub apparemment légitime contenant des forks de trois projets publics. Le diable est dans les détails, et c'est la section auteur de la page qui contient une chaîne encodée. Cette chaîne est récupérée et décodée par le module C2 du logiciel malveillant et contient le lien vers les serveurs C2 de deuxième étape hébergés sur des services en nuage légitimes tels que Microsoft 365, Dropbox et Yandex Cloud, en utilisant l'API des plateformes pour exfiltrer les données. En termes plus simples, le processus de connexion à l'infrastructure C2 consiste en deux étapes. Dans la première étape, GitHub (et mail.ru comme solution de repli) est utilisé pour récupérer l'infrastructure de la deuxième étape hébergée sur des services légitimes distincts. Une version cloud-native d'une technique bien connue appelée Dead Drop Resolver.
Comment Netskope atténue le risque que des services en nuage légitimes soient exploités pour une infrastructure de commandement et de contrôle ?
GitHub, Microsoft 365, Dropbox et Yandex Cloud font partie des milliers de services en nuage pour lesquels Netskope Next Gen SWG peut fournir un contrôle d'accès adaptatif, une protection contre les menaces et une prévention de la perte de données avec une granularité impossible à obtenir avec toute autre technologie de sécurité web. GitHub, Microsoft 365 et Dropbox font également partie des centaines d'applications en nuage pour lesquelles la détection d'instances est disponible. Ainsi, dans les cas où ces services ou des applications de stockage en nuage similaires sont exploités par des attaquants externes pour diffuser une charge utile malveillante ou pour héberger l'infrastructure de commande et de contrôle (comme dans le cas de CloudSorcerer), il est possible de configurer une politique pour empêcher les activités potentiellement dangereuses (telles que "Upload" et "Download") du service spécifique ou de la catégorie entière à laquelle il appartient (ou évidemment de bloquer complètement le service non nécessaire). Le contrôle d'accès granulaire peut être étendu au niveau de l'instance unique pour GitHub, Microsoft 365 et Dropbox.
Les clients de Netskope sont également protégés contre les logiciels malveillants distribués à partir du nuage (et du web en général) par Netskope Threat Protection. Netskope Threat Protection analyse le trafic web et cloud pour détecter les menaces connues et inconnues à l'aide d'un ensemble complet de moteurs, notamment l'antivirus basé sur les signatures, les détecteurs d'apprentissage automatique pour les exécutables et les documents Office, et le sandboxing avec la protection patient zéro. Les capacités de protection contre les menac