Selon l’extrait d’actualité fourni, des cas récents montrent l’abus de l’outil open source Cyberduck par des acteurs du ransomware Qilin pour l’exfiltration de données.
Les attaquants tirent parti de services cloud légitimes pour l’exfiltration 📤, ce qui leur permet de camoufler leurs activités au sein de domaines de confiance et de trafic web légitime.
Un artefact clé mentionné est le fichier d’historique Cyberduck, qui indique l’usage d’un hôte Backblaze comme destination ainsi que l’activation d’un paramètre personnalisé de téléversements fractionnés/multipart afin de transférer de gros fichiers ☁️.
TTPs observées:
- Abus d’un outil légitime (Cyberduck) pour l’exfiltration (living-off-the-land logiciel)
- Utilisation de services cloud (Backblaze) pour masquer les flux d’exfiltration dans du trafic légitime
- Uploads fractionnés/multipart pour contourner les limites de taille et fiabiliser les transferts de gros volumes
- Traces laissées dans le fichier d’historique Cyberduck (configurations cibles et paramètres d’upload)
Il s’agit d’une analyse de menace axée sur les techniques d’exfiltration observées dans des cas liés à Qilin, visant à documenter l’abus de services cloud et d’outils légitimes.
🧠 TTPs et IOCs détectés
TTPs
Abus d’un outil légitime (Cyberduck) pour l’exfiltration, Utilisation de services cloud (Backblaze) pour masquer les flux d’exfiltration, Uploads fractionnés/multipart pour contourner les limites de taille, Traces laissées dans le fichier d’historique Cyberduck
IOCs
Non fournis dans l’extrait.
🔗 Source originale : https://blog.talosintelligence.com/uncovering-qilin-attack-methods-exposed-through-multiple-cases/