Ce rapport, préparé par Quorum Cyber, met en lumière une campagne de malware ciblant spécifiquement le secteur de l’enseignement supérieur au Royaume-Uni. Deux universités ont été infectées par des Remote Access Trojans (RAT), indiquant une possible escalade des attaques dans ce secteur.
Les RATs permettent aux attaquants de prendre le contrôle à distance des systèmes infectés, facilitant l’accès aux fichiers, la surveillance des activités et la manipulation des paramètres système. Les attaquants peuvent également introduire d’autres outils ou malwares, exfiltrer des données ou détruire des informations. Cette campagne utilise des Cloudflare Tunnels pour contourner les pare-feux et maintenir un accès persistant et discret.
L’analyse technique révèle que le malware, nommé NodeSnake, a évolué en deux versions, NodeSnake.A et NodeSnake.B, avec des capacités avancées d’obfuscation, de communication C2, et d’exécution dynamique de commandes. Le groupe de menace Interlock, connu pour ses campagnes de double extorsion, est suspecté d’être derrière cette opération, bien qu’il n’opère pas comme un Ransomware-as-a-Service (RaaS).
Ce rapport constitue une analyse de menace détaillée, fournissant des recommandations de sécurité pour atténuer l’impact de cette menace, telles que la mise en place de politiques de confiance zéro, la formation des utilisateurs, et la protection des points de terminaison.
🧠 TTP et IOC détecté
TTP
T1219 (Remote Access Tools), T1071.001 (Application Layer Protocol: Web Protocols), T1573 (Encrypted Channel), T1568.002 (Dynamic Resolution: Domain Generation Algorithms), T1027 (Obfuscated Files or Information), T1105 (Ingress Tool Transfer), T1078 (Valid Accounts), T1071.004 (Application Layer Protocol: DNS), T1566 (Phishing), T1041 (Exfiltration Over C2 Channel), T1499 (Endpoint Denial of Service)
IOC
NodeSnake, NodeSnake.A, NodeSnake.B, Cloudflare Tunnels