Les dossiers Microsoft SharePoint/Google Drive comme technique d'évasion

2 août 2024

Mimecast Threat Research a observé que des acteurs de la menace utilisent SharePoint et Google Drive pour partager des fichiers contenant des liens vers des sites malveillants. Le leurre est principalement une invitation à enchérir dans le but d'obtenir des informations d'identification grâce à un kit de phishing hébergé.

Vous trouverez ci-dessous un exemple de cette campagne, qui utilise un compte O365 compromis. Dans la plupart des cas, les domaines sont utilisés dans des secteurs spécifiques liés à la cible, ce qui augmente la probabilité que l'utilisateur final interagisse avec l'e-mail.

 
L'e-mail contient un lien « Cliquez ici pour voir le projet » utilisé pour obtenir plus d'informations sur l'offre. En cliquant sur le lien, les utilisateurs sont redirigés vers une page de dossier SharePoint contenant un fichier, ce qui est inhabituel car ce sont normalement les « fichiers » eux-mêmes qui le rendent unique.

Le raisonnement derrière la couche supplémentaire d’obscurcissement est l’évasion des solutions de sécurité. En outre, le leurre peut être perçu comme plus légitime avec plusieurs fichiers dans le dossier, ou pour aider l'acteur de la menace à gérer des campagnes où il peut utiliser des dossiers sans partager un fichier direct.

 
Dans cet exemple de campagne, un dossier a été créé sur la page SharePoint liée à une véritable entreprise, le prétendu propriétaire du fichier étant associé à la même organisation. Une fois dans le dossier, l'utilisateur doit interagir avec la page pour accéder au fichier.

En cliquant sur le fichier, un PDF flou apparaît, invitant l'utilisateur à accéder à un lien lui permettant de se connecter à son compte Microsoft pour accéder au fichier.

 
Les pages de phishing ont une structure URL similaire hxxps://[NOM].[magasin/site en ligne]/ ?[8 caractères], ce qui a été observé avec les pages de phishing achetées sur "NakedPages". Dans certaines campagnes, des pages captcha sont ajoutées pour augmenter le nombre d'interactions entre les utilisateurs nécessaires pour accéder à la page de phishing finale, parfois jusqu'à 7. C'est devenu une technique très courante utilisée par les acteurs de la menace pour échapper à la détection.

 
Ce type de technique n'est pas limité aux seuls services Microsoft. En voici un exemple utilisant Google Drive avec une mise en page et une page finale de collecte d'informations d'identification très similaires :

  
Alors que j'étudiais l'exemple de Google Drive, une page d'erreur s'est présentée qui fournit un peu plus de détails sur la campagne, où un échec de licence a été observé, probablement à cause de « NakedPages ».

  
Des informations supplémentaires sur la page renvoient à nkp.relay-proxy-i2p.com. I2P est une couche réseau axée sur la confidentialité pour la communication anonyme. Cela suggère que la page de phishing essayait de se connecter à un relais I2P ou à un proxy, probablement pour exfiltrer des données ou communiquer de manière anonyme.

Une enquête plus approfondie révèle que nkp.relay-proxy-i2p.com n'est actif que récemment et a été transféré à FlokiNet. FlokiNET est un fournisseur d'hébergement web connu pour offrir des services mettant l'accent sur la protection de la vie privée et la liberté d'expression, souvent utilisés par des militants et des journalistes, mais des acteurs menaçants font également bon usage de ces services. Mimecast a récemment observé une évolution en matière d'hébergement, ce qui indique que les acteurs malveillants font de plus en plus appel à une rotation de leur infrastructure pour éviter les efforts de détection et de suppression.

Les serveurs de noms de nkp.relay-proxy-i2p.com sont Njalla, ce qui constitue un autre point intéressant. Njalla est un service d’enregistrement de domaine qui met l’accent sur la confidentialité et l’anonymat en protégeant l’identité des propriétaires de domaines. Il agit en tant qu'intermédiaire entre le bureau d'enregistrement et le propriétaire du domaine, en enregistrant le domaine en votre nom et en gardant vos informations personnelles secrètes.

Objectifs

Global, tous les secteurs

CIO

Sites de collecte d’identifiants

• hxxps://esthereiahdhd.store/?ubzveppo
• hxxps://noticebidproject.online/?xptjjunz
• hxxps://ncosulteng.store/?lzbcqrww
• hxxps://elbenchaesn.store/?oyhbewrx

Lignes d’objet (plusieurs variantes existent)

• APPEL D’OFFRES : Northwest Line Builders LLC . . .-- Projet n°21-1161L 1912
• APPEL D’OFFRES : SERVICES D’ESSAIS DE CONSTRUCTION, LLC . . .-- Projet n° 21-1161L 1912
• Appel d'offres : Projet n° 21-1161L : Solutions de gaz pour l'infrastructure de l'usine de traitement de l'eau
• INVITATION À ENCHÉRIR : Balcones Resources Inc. .-- Projet n°21-1161L 1912