L’article publié par Securonix Threat Research met en lumière une campagne de malware sophistiquée appelée SERPENTINE#CLOUD. Cette campagne utilise les tunnels Cloudflare pour diffuser des charges utiles malveillantes. Les attaquants emploient des fichiers .lnk pour initier la chaîne d’infection, se terminant par un chargeur shellcode basé sur Python.
Les fichiers de raccourci (.lnk) sont envoyés via des e-mails de phishing, souvent déguisés en documents liés à des arnaques de paiement ou de factures. Une fois exécutés, ces fichiers déclenchent une séquence d’infection complexe utilisant des scripts batch, VBScript et Python, pour finalement déployer un payload PE emballé par Donut en mémoire.
Les attaquants utilisent l’infrastructure de tunnel de Cloudflare pour héberger et livrer des charges utiles, rendant leur infrastructure difficile à détecter et à attribuer. Cette méthode permet de masquer les activités malveillantes derrière un réseau de confiance, rendant la détection plus complexe pour les outils de surveillance du réseau.
Ce rapport technique vise à informer sur les méthodes d’attaque employées, les infrastructures utilisées et les recommandations pour détecter et prévenir de telles intrusions. Il met en avant l’évolution des techniques d’accès initial et la sophistication croissante de cette campagne de menace.
🧠 TTP et IOC détecté
TTP
[‘T1204.002 - User Execution: Malicious File’, ‘T1566.001 - Phishing: Spearphishing Attachment’, ‘T1105 - Ingress Tool Transfer’, ‘T1059.003 - Command and Scripting Interpreter: Windows Command Shell’, ‘T1059.005 - Command and Scripting Interpreter: Visual Basic’, ‘T1059.006 - Command and Scripting Interpreter: Python’, ‘T1027 - Obfuscated Files or Information’, ‘T1572 - Protocol Tunneling’]
🔗 Source originale : https://www.securonix.com/blog/analyzing_serpentinecloud-threat-actors-abuse-cloudflare-tunnels-threat-research/