<\/a>Contexte<\/h2>\nNotre rapport r\u00e9cent sur les menaces cloud<\/a> a r\u00e9v\u00e9l\u00e9 une augmentation moyenne de 388\u00a0% des alertes en 2024. Par ailleurs, 45\u00a0% des organisations<\/a> d\u00e9clarent une recrudescence des attaques de type\u00a0APT (menace persistante avanc\u00e9e). Alors que les acteurs de la menace ciblent de plus en plus<\/a> les infrastructures\u00a0cloud, les \u00e9quipes de d\u00e9fense doivent identifier les vecteurs d\u2019attaque potentiels exploitables pour acc\u00e9der aux environnements\u00a0cloud, y \u00e9tablir une persistance et mener des op\u00e9rations malveillantes. Les threat\u00a0hunters gagneraient \u00e0 analyser les ex\u00e9cutables malveillants pouvant \u00eatre utilis\u00e9s contre des terminaux dans le cloud.<\/p>\nCet article examine les types de binaires malveillants que les acteurs de la menace d\u00e9veloppent pour cibler les environnements\u00a0Linux. Les fichiers\u00a0ELF sont un format standard couramment utilis\u00e9 pour les ex\u00e9cutables dans ces syst\u00e8mes d\u2019exploitation. Les chercheurs estiment que 70<\/a> \u00e0 90<\/a>\u00a0% des instances de calcul dans les environnements\u00a0cloud reposent sur des variantes de Linux. Si les malwares\u00a0ELF ne sont pas nouveaux, les familles identifi\u00e9es et les techniques d\u2019attaque qu\u2019elles mobilisent devraient \u00e9voluer de mani\u00e8re \u00e0 viser plus sp\u00e9cifiquement les infrastructures\u00a0cloud.<\/p>\n<\/a>L\u2019\u00e9volution des binaires\u00a0ELF<\/h2>\nLes familles de malwares\u00a0Linux bien connues peuvent \u00e9voluer pour cibler activement les ressources\u00a0cloud. En raison de la pr\u00e9sence g\u00e9n\u00e9ralis\u00e9e de syst\u00e8mes\u00a0Linux dans les environnements\u00a0cloud standards, les cybercriminels peuvent facilement adapter et d\u00e9ployer ces familles de malwares dans des workloads\u00a0cloud et des environnements de conteneurs.<\/p>\n
Nos chercheurs ont identifi\u00e9 plusieurs souches \u00e9volutives de malwares\u00a0ELF, parmi lesquelles NoodleRAT, Winnti, SSHdInjector, Pygmy Goat et AcidPour. Ces binaires\u00a0ELF utilisent des techniques telles que le d\u00e9tournement du linker dynamique, qui exploitent notamment la variable d\u2019environnement LD_PRELOAD<\/span> pour\u00a0:<\/p>\n\n- Injecter du code malveillant dans des processus syst\u00e8me l\u00e9gitimes<\/li>\n
- S\u2019interfacer avec des services\u00a0Linux critiques, comme le d\u00e9mon\u00a0SSH (sshd<\/span>)<\/li>\n
- Exploiter des vuln\u00e9rabilit\u00e9s ou des mauvaises configurations dans les infrastructures conteneuris\u00e9es<\/li>\n<\/ul>\n
Cela permet aux acteurs de la menace d\u2019assurer leur persistance, de maintenir des canaux de commande et de contr\u00f4le (C2) discrets, d\u2019exfiltrer des donn\u00e9es de mani\u00e8re furtive et de perturber les op\u00e9rations en effa\u00e7ant des donn\u00e9es critiques.<\/p>\n
<\/a>NoodleRAT<\/h3>\nCe logiciel malveillant permet aux acteurs de la menace de mener des op\u00e9rations de commande et de contr\u00f4le (C2) sur un terminal cibl\u00e9, notamment\u00a0:<\/p>\n
\n- L\u2019acc\u00e8s via un reverse-shell<\/li>\n
- Le tunneling proxy\u00a0SOCKS<\/li>\n
- Le chiffrement des communications<\/li>\n
- L\u2019ex\u00e9cution programm\u00e9e de code<\/li>\n
- Le transfert de fichiers (t\u00e9l\u00e9chargement et t\u00e9l\u00e9versement)<\/li>\n
- L\u2019usurpation de nom de processus<\/li>\n<\/ul>\n
NoodleRAT existe en versions Windows et Linux. La variante\u00a0Linux<\/a> est une porte d\u00e9rob\u00e9e au format\u00a0ELF. Bien que son code pr\u00e9sente des similitudes avec d'autres malwares\u00a0Linux tels que Rekoobe et Tiny SHell, NoodleRAT est consid\u00e9r\u00e9 comme une famille de logiciels malveillants \u00e0 part enti\u00e8re.<\/p>\nNoodleRAT a \u00e9t\u00e9 observ\u00e9 dans le cadre d\u2019intrusions \u00e0 des fins de cybercriminalit\u00e9 et de cyberespionnage, notamment par des acteurs de la menace sinophones tels que Rocke<\/a>, ainsi que par des acteurs pr\u00e9sum\u00e9s \u00e9tatiques associ\u00e9s \u00e0 la campagne Cloud\u00a0Snooper<\/a>. Les auteurs de la variante\u00a0Linux de NoodleRAT ont cibl\u00e9 des entit\u00e9s dans plusieurs pays de la r\u00e9gion\u00a0Asie-Pacifique, notamment en Tha\u00eflande, en Inde, au Japon, en Malaisie et \u00e0 Ta\u00efwan.<\/p>\n<\/a>Winnti<\/h3>\nWinnti existe en versions Windows et Linux. Ce logiciel malveillant assure sa persistance en d\u00e9tournant la variable d\u2019environnement LD_PRELOAD<\/span>, ce qui lui permet de se charger en m\u00e9moire sans modifier les ex\u00e9cutables syst\u00e8me l\u00e9gitimes.<\/p>\nLa porte d\u00e9rob\u00e9e dispose des fonctionnalit\u00e9s suivantes\u00a0:<\/p>\n
\n- Ex\u00e9cution de commandes \u00e0 distance<\/li>\n
- Exfiltration de fichiers<\/li>\n
- Prise en charge du proxy\u00a0SOCKS5 pour faciliter les communications\u00a0C2<\/li>\n<\/ul>\n
La variante\u00a0Linux du malware\u00a0Winnti<\/a> est une porte d\u00e9rob\u00e9e utilis\u00e9e par plusieurs groupes d\u2019acteurs de la menace li\u00e9s \u00e0 la Chine, notamment ceux que nous suivons sous les noms de Starchy\u00a0Taurus (\u00e9galement connu sous le nom de Winnti<\/a>\u00a0Group ou BARIUM) et Nuclear\u00a0Taurus (aussi appel\u00e9 Tumbleweed\u00a0Typhoon, THORIUM ou Bronze\u00a0Vapor<\/a>). Cette porte d\u00e9rob\u00e9e se compose de deux fichiers\u00a0: un binaire\u00a0ELF principal (libxselinux<\/span>) et une biblioth\u00e8que dynamique suppl\u00e9mentaire (libxselinux.so<\/span>).<\/p>\n<\/a>SSHdInjector<\/h3>\nCette porte d\u00e9rob\u00e9e\u00a0SSH<\/a> pour Linux injecte du code malveillant dans le d\u00e9mon\u00a0SSH (sshd<\/span>) pendant son ex\u00e9cution. Le code inject\u00e9 permet \u00e0 l\u2019acteur malveillant de maintenir un acc\u00e8s persistant et facilite des activit\u00e9s malveillantes telles que\u00a0:<\/p>\n\n- Le vol d\u2019identifiants<\/li>\n
- L\u2019ex\u00e9cution de commandes \u00e0 distance<\/li>\n
- La p\u00e9n\u00e9tration de logiciels malveillants<\/li>\n
- L\u2019acc\u00e8s aux fichiers et aux r\u00e9pertoires<\/li>\n
- L\u2019ouverture d'un shell \u00e0 distance<\/li>\n
- L\u2019exfiltration de donn\u00e9es<\/li>\n<\/ul>\n
SSHdInjector a \u00e9t\u00e9 observ\u00e9 dans des campagnes men\u00e9es par plusieurs acteurs de la menace li\u00e9s \u00e0 la Chine, notamment un groupe que nous suivons sous le nom de Digging Taurus<\/a> (\u00e9galement connu sous les noms de Daggerfly et Evasive Panda). Les cibles<\/a> sont li\u00e9es \u00e0 des activit\u00e9s de cyberespionnage et incluent des individus, des institutions gouvernementales ainsi que des organisations du secteur des t\u00e9l\u00e9communications.<\/p>\n<\/a>Pygmy Goat<\/h3>\nPygmy\u00a0Goat est une porte d\u00e9rob\u00e9e\u00a0Linux, d\u00e9couverte sur des dispositifs Sophos\u00a0XG\u00a0Firewall<\/a>, mais con\u00e7ue pour cibler d\u2019autres syst\u00e8mes bas\u00e9s sur Linux. Le logiciel malveillant obtient un acc\u00e8s initial et persiste gr\u00e2ce \u00e0 des fonctionnalit\u00e9s de rootkit, en exploitant la biblioth\u00e8que libsophos.so<\/span>, vuln\u00e9rable \u00e0 un contournement de l\u2019authentification (CVE-2022-1040<\/a>).<\/p>\nL\u2019ex\u00e9cutable s\u2019injecte ensuite dans le d\u00e9mon\u00a0SSH (sshd<\/span>) en utilisant la variable d\u2019environnement LD_PRELOAD<\/span> sur l\u2019appareil cibl\u00e9, ce qui lui permet d\u2019intercepter les communications SSH. L\u2019acteur de la menace peut initier la communication avec le logiciel malveillant en envoyant des paquets ICMP sp\u00e9cialement con\u00e7us \u2013 une technique connue sous le nom de port knocking<\/a>\u00a0\u2013 ou en transmettant une s\u00e9quence de magic\u00a0bytes<\/a> int\u00e9gr\u00e9e au trafic\u00a0SSH.<\/p>\nSes capacit\u00e9s incluent\u00a0:<\/p>\n
\n- L\u2019\u00e9tablissement de shells distants<\/li>\n
- La capture de paquets r\u00e9seau<\/li>\n
- La cr\u00e9ation de t\u00e2ches planifi\u00e9es via cron<\/li>\n
- Le tunneling via un proxy\u00a0SOCKS5 invers\u00e9<\/li>\n<\/ul>\n
Les cibles signal\u00e9es incluent des agences gouvernementales et leurs fournisseurs, des ONG, ainsi que des entit\u00e9s des secteurs de la sant\u00e9 et des transports dans la r\u00e9gion\u00a0Asie-Pacifique.<\/p>\n
<\/a>Acid Pour\/AcidRain<\/h3>\nAcidRain et sa variante plus r\u00e9cente, AcidPour<\/a>, sont des souches de malware destructeur de type\u00a0wiper pour Linux, attribu\u00e9es \u00e0 l\u2019acteur mena\u00e7ant russe Razing\u00a0Ursa<\/a> (\u00e9galement connu sous les noms de Sandworm et Voodoo Bear). AcidRain est un binaire\u00a0ELF con\u00e7u pour cibler les modems et routeurs bas\u00e9s sur l\u2019architecture\u00a0MIPS<\/a>.<\/p>\nAcidPour est un binaire\u00a0ELF similaire, mais compil\u00e9 pour l\u2019architecture\u00a0x86. Il peut ainsi viser un \u00e9ventail plus large de cibles, notamment des baies de stockage sous Linux\u00a0x86, des \u00e9quipements r\u00e9seau et des syst\u00e8mes de contr\u00f4le industriel.<\/p>\n
-es deux wipers utilisent des commandes d\u2019entr\u00e9e\/sortie (IOCTL) pour d\u00e9truire les donn\u00e9es, puis se suppriment eux\u2013m\u00eames afin d\u2019\u00e9chapper \u00e0 la d\u00e9tection. AcidPour, ou une nouvelle variante de ce binaire, pourrait s\u2019av\u00e9rer redoutablement efficace pour effacer des syst\u00e8mes\u00a0cloud non prot\u00e9g\u00e9s bas\u00e9s sur x86, si un acteur de la menace parvenait \u00e0 obtenir un acc\u00e8s shell \u2013\u00a0par exemple \u00e0 la suite du d\u00e9ploiement r\u00e9ussi d\u2019un web\u00a0shell ou d\u2019une \u00e9vasion de conteneur.<\/p>\n
Nous avons observ\u00e9 de nouvelles valeurs de hachage associ\u00e9es \u00e0 ces familles de malwares dans les mois ayant pr\u00e9c\u00e9d\u00e9 ce rapport. \u00c0 mesure que les organisations poursuivent leur migration vers le cloud, les acteurs de la menace continueront \u00e0 d\u00e9velopper ces familles de malwares et \u00e0 se tourner vers les environnements d\u2019ex\u00e9cution\u00a0cloud. Cette tendance souligne la n\u00e9cessit\u00e9 de renforcer les capacit\u00e9s de d\u00e9tection et de pr\u00e9vention dans les workloads\u00a0cloud et les conteneurs.<\/p>\n
<\/a>Conclusion<\/h2>\nEn 2024, les alertes bas\u00e9es sur le cloud ont augment\u00e9 de 388\u00a0% en moyenne. Nous pr\u00e9voyons que les acteurs de la menace ciblant les environnements\u00a0cloud utiliseront des outils de plus en plus sophistiqu\u00e9s dans leurs attaques. Cela inclura la modification, l\u2019am\u00e9lioration et l\u2019adaptation d\u2019outils existants qui, historiquement, ne visaient que les OS\u00a0Linux.<\/p>\n
\u00c9tant donn\u00e9 que jusqu\u2019\u00e0 90\u00a0% des environnements\u00a0cloud reposeraient sur des instances de calcul\u00a0Linux, il est logique que les acteurs de la menace cherchent d\u00e9sormais \u00e0 d\u00e9ployer ces familles de malwares directement contre les environnements\u00a0cloud.<\/p>\n
Il est plus crucial que jamais de d\u00e9ployer des agents de s\u00e9curit\u00e9 sur les instances de calcul\u00a0cloud afin de d\u00e9tecter toute activit\u00e9 malveillante en cours d\u2019ex\u00e9cution, tout trafic r\u00e9seau suspect ou tout comportement anormal. Les agents de s\u00e9curit\u00e9 modernes pour environnements\u00a0cloud sont capables d\u2019identifier ces familles de malwares. L\u2019int\u00e9gration de l\u2019apprentissage automatique dans les solutions de d\u00e9tection sur les terminaux repr\u00e9sente une avanc\u00e9e majeure pour la s\u00e9curit\u00e9\u00a0cloud.<\/p>\n
Palo Alto Networks\u00a0: protection et att\u00e9nuation des menaces<\/p>\n
Nous recommandons une approche de d\u00e9tection bas\u00e9e sur l\u2019apprentissage automatique pour identifier les ex\u00e9cutables malveillants. Cette m\u00e9thode \u00e9volutive doit prendre en compte plusieurs facteurs, notamment\u00a0:<\/p>\n
\n- Les appels syst\u00e8me en mode noyau<\/li>\n
- Les fonctions import\u00e9es<\/li>\n
- Les techniques d\u2019\u00e9vasion<\/li>\n
- Le trafic r\u00e9seau<\/li>\n
- Les sch\u00e9mas d\u2019ex\u00e9cutables inconnus<\/li>\n<\/ul>\n
La figure\u00a01 montre un binaire\u00a0ELF jusque-l\u00e0 inconnu ayant d\u00e9clench\u00e9 une alerte\u00a0Cortex bas\u00e9e sur l\u2019apprentissage automatique.<\/p>\n![\"Capture]()
Figure 1. Alerte d\u2019ex\u00e9cution Cortex Cloud par apprentissage automatique ELF.<\/figcaption><\/figure>\n<\/a>D\u00e9tections\u00a0ELF par apprentissage automatique<\/h4>\nAvec Cortex\u00a0Cloud<\/a>, Palo\u00a0Alto\u00a0Networks <\/a>a mis au point un nouveau module d\u2019apprentissage automatique sp\u00e9cifiquement con\u00e7u pour d\u00e9tecter les fichiers ELF sous Linux. Nos chercheurs ont men\u00e9 des tests sur plus de 100 binaires ELF issus des cinq familles de malwares abord\u00e9es dans cet article. Chaque famille de malwares a \u00e9t\u00e9 d\u00e9tect\u00e9e avec succ\u00e8s, et 92 % de l\u2019ensemble des \u00e9chantillons ont \u00e9t\u00e9 correctement identifi\u00e9s comme malveillants.<\/p>\nLes 8\u00a0% restants correspondaient \u00e0 des biblioth\u00e8ques partag\u00e9es Linux (.so), qui sortaient du p\u00e9rim\u00e8tre du mod\u00e8le utilis\u00e9.<\/p>\n
Les fichiers d\u00e9tect\u00e9s ont \u00e9t\u00e9 class\u00e9s selon les crit\u00e8res de test suivants\u00a0:<\/p>\n
\n- Malveillant<\/li>\n
- Suspect<\/li>\n
- B\u00e9nin<\/li>\n<\/ul>\n
Les \u00e9chantillons ayant obtenu un score sup\u00e9rieur ou \u00e9gal \u00e0 0,85 sont consid\u00e9r\u00e9s comme malveillants, ceux dont le score se situe entre 0,84 et 0,65 comme suspects, et ceux dont le score est inf\u00e9rieur \u00e0 0,64 comme b\u00e9nins.<\/p>\n
La figure\u00a02 montre que 61\u00a0% des \u00e9chantillons test\u00e9s ont obtenu un score sup\u00e9rieur \u00e0 0,85 et ont donc \u00e9t\u00e9 consid\u00e9r\u00e9s comme malveillants.<\/p>\n![\"Diagramme]()
Figure 2. R\u00e9sultats de tests ELF par apprentissage automatique selon le pourcentage de contenus b\u00e9nins, suspects ou malveillants<\/figcaption><\/figure>\n92,3\u00a0% de l\u2019ensemble des \u00e9chantillons soumis ont d\u00e9pass\u00e9 le seuil de suspicion de 0,65. Cela d\u00e9montre que tous les \u00e9chantillons, \u00e0 l\u2019exception de 7,7\u00a0% d\u2019entre eux, seraient consid\u00e9r\u00e9s comme suspects et d\u00e9clencheraient une alerte s\u2019ils \u00e9taient ex\u00e9cut\u00e9s dans l\u2019environnement.<\/p>\n
<\/a>D\u00e9tections\u00a0PowerShell et VBS par apprentissage automatique<\/h4>\nNous avons \u00e9galement utilis\u00e9 le module d\u2019apprentissage automatique\u00a0PowerShell et VBS de Cortex pour \u00e9tudier la d\u00e9tection des op\u00e9rations sp\u00e9cifiques au cloud. Nous avons soumis plus de 100\u00a0scripts PowerShell et Visual Basic (VBS) au mod\u00e8le d\u2019apprentissage. Ces scripts, s\u00e9lectionn\u00e9s manuellement, \u00e9taient identifi\u00e9s comme malveillants et r\u00e9alisaient les activit\u00e9s suivantes\u00a0:<\/p>\n
\n- D\u00e9couverte et cr\u00e9ation de ressources\u00a0cloud<\/li>\n
- Suppression et exfiltration d\u2019objets des conteneurs de stockage<\/li>\n
- Op\u00e9rations li\u00e9es \u00e0 la gestion des identit\u00e9s et des acc\u00e8s (IAM)<\/li>\n<\/ul>\n
La figure\u00a03 montre que 67\u00a0% de ces scripts ont bien \u00e9t\u00e9 identifi\u00e9s comme malveillants ou suspects. Il est \u00e0 noter que pr\u00e8s de 96\u00a0% des \u00e9chantillons malveillants ont obtenu un score sup\u00e9rieur ou \u00e9gal \u00e0 0,95.<\/p>\n![\"Diagramme]()
Figure\u00a03. R\u00e9sultats de tests\u00a0PowerShell et VBS par apprentissage automatique selon le pourcentage de contenus b\u00e9nins, suspects ou malveillants.<\/figcaption><\/figure>\nCortex\u00a0Cloud<\/strong><\/h2>\nLes d\u00e9fenseurs peuvent obtenir des informations pr\u00e9cieuses en chassant les menaces li\u00e9es aux ex\u00e9cutions courantes de malwares\u00a0ELF sur les terminaux du cloud. Cela peut se faire gr\u00e2ce \u00e0 la d\u00e9tection et r\u00e9ponse dans le cloud (CDR), une solution de s\u00e9curit\u00e9 qui combine\u00a0:<\/p>\n
\n- Les capacit\u00e9s de d\u00e9tection et r\u00e9ponse (EDR) sur les terminaux<\/li>\n
- La d\u00e9tection et la pr\u00e9vention des processus ex\u00e9cutables s\u2019ex\u00e9cutant sur les terminaux du cloud<\/li>\n
- Les capacit\u00e9s d\u2019audit et de journalisation inh\u00e9rentes \u00e0 la plateforme de services\u00a0cloud<\/li>\n<\/ul>\n
Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s contre les menaces \u00e9voqu\u00e9es ci-dessus gr\u00e2ce aux produits suivants\u00a0:<\/p>\n
\n- Cortex \u2013\u00a0Module de d\u00e9tection\u00a0des fichiers ELF par apprentissage automatique<\/li>\n
- Cortex \u2013\u00a0Module de d\u00e9tection\u00a0PowerShell et VBS par apprentissage automatique<\/li>\n<\/ul>\n
Si vous pensez avoir \u00e9t\u00e9 compromis ou en cas de question urgente, prenez contact avec l\u2019\u00e9quipe de r\u00e9ponse \u00e0 incident d\u2019Unit\u00a042<\/a> ou appelez les num\u00e9ros suivants\u00a0:<\/p>\n\n- Am\u00e9rique du Nord\u00a0: Gratuit\u00a0: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n
- ROYAUME-UNI\u00a0: +44.20.3743.3660<\/li>\n
- Europe et Moyen-Orient\u00a0: +31.20.299.3130<\/li>\n
- Asie\u00a0: +65.6983.8730<\/li>\n
- Japon\u00a0: +81.50.1790.0200<\/li>\n
- Australie\u00a0: +61.2.4062.7950<\/li>\n
- Inde\u00a0: 00080005045107<\/li>\n<\/ul>\n
Palo\u00a0Alto\u00a0Networks a partag\u00e9 ces r\u00e9sultats avec les membres de la Cyber\u00a0Threat\u00a0Alliance (CTA). Les membres de la CTA utilisent ces renseignements pour d\u00e9ployer rapidement des mesures de protection aupr\u00e8s de leurs clients et pour perturber syst\u00e9matiquement les cyberacteurs malveillants. En savoir plus sur la Cyber Threat Alliance<\/a>.<\/p>\n<\/a>Ressources compl\u00e9mentaires<\/h2>\nPlusieurs sources ont \u00e9t\u00e9 utilis\u00e9es pour produire et \u00e9tayer cette recherche\u00a0:<\/p>\n
\n- Les menaces li\u00e9es au cloud en plein essor<\/a> \u2013\u00a0Unit\u00a042<\/li>\n
- \u00c9tat des lieux du cloud en 2024<\/a> \u2013\u00a0Unit\u00a042<\/li>\n
- AcidPour\u00a0Wiper Malware<\/a> \u2013 Splunk<\/li>\n
- AcidPour |\u00a0Nouvelle variante embarqu\u00e9e d\u2019AcidRain rep\u00e9r\u00e9e en Ukraine<\/a> \u2013\u00a0SentinelOne<\/li>\n
- Centre national de cybers\u00e9curit\u00e9<\/a> \u2013\u00a0NCSC<\/li>\n
- Analyse de SSHdInjector<\/a> \u2013\u00a0Fortinet<\/li>\n
- Analyse du backdoor\u00a0NoodleRAT<\/a> \u2013\u00a0Trend Micro<\/li>\n
- RevivalStone\u00a0: Winnti\u00a0Group<\/a> \u2013\u00a0Centre d\u2019urgence cybern\u00e9tique de LAC<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"
Gr\u00e2ce aux donn\u00e9es issues de ses outils d\u2019apprentissage automatique, Unit 42 pr\u00e9voit une recrudescence des attaques ciblant le cloud via des fichiers ELF (Executable and Linkage Format) Linux r\u00e9utilis\u00e9s ou modifi\u00e9s. <\/p>\n","protected":false},"author":317,"featured_media":142732,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8724,8787,8832],"tags":[9229,9230,9231,9232,9233,9234,9235],"product_categories":[9041,9046,9151],"coauthors":[1394,8920],"class_list":["post-144334","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cloud-cybersecurity-research-fr","category-malware-fr","category-threat-research-fr","tag-endpoint-fr","tag-linux-malware-fr","tag-machine-learning-fr","tag-powershell-fr","tag-remote-access-trojan-fr","tag-vbscript-fr","tag-winnti-fr","product_categories-cortex-fr","product_categories-cortex-cloud-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"\n
L\u2019\u00e9volution des binaires\u00a0Linux dans les op\u00e9rations cibl\u00e9es sur le cloud<\/title>\n<meta name=\"description\" content=\"Gr\u00e2ce aux donn\u00e9es issues de ses outils d\u2019apprentissage automatique, Unit 42 pr\u00e9voit une recrudescence des attaques ciblant le cloud via des fichiers ELF (Executable and Linkage Format) Linux r\u00e9utilis\u00e9s ou modifi\u00e9s. Gr\u00e2ce aux donn\u00e9es issues de ses outils d\u2019apprentissage automatique, Unit 42 pr\u00e9voit une recrudescence des attaques ciblant le cloud via des fichiers ELF (Executable and Linkage Format) Linux r\u00e9utilis\u00e9s ou modifi\u00e9s.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/elf-based-malware-targets-cloud\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"L\u2019\u00e9volution des binaires\u00a0Linux dans les op\u00e9rations cibl\u00e9es sur le cloud\" \/>\n<meta property=\"og:description\" content=\"Gr\u00e2ce aux donn\u00e9es issues de ses outils d\u2019apprentissage automatique, Unit 42 pr\u00e9voit une recrudescence des attaques ciblant le cloud via des fichiers ELF (Executable and Linkage Format) Linux r\u00e9utilis\u00e9s ou modifi\u00e9s. Gr\u00e2ce aux donn\u00e9es issues de ses outils d\u2019apprentissage automatique, Unit 42 pr\u00e9voit une recrudescence des attaques ciblant le cloud via des fichiers ELF (Executable and Linkage Format) Linux r\u00e9utilis\u00e9s ou modifi\u00e9s.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/elf-based-malware-targets-cloud\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-06-10T16:04:29+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-06-26T16:24:46+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/02_Cloud_cybersecurity_research_Overview_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Nathaniel Quist, Bill Batchelor\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"L\u2019\u00e9volution des binaires\u00a0Linux dans les op\u00e9rations cibl\u00e9es sur le cloud","description":"Gr\u00e2ce aux donn\u00e9es issues de ses outils d\u2019apprentissage automatique, Unit 42 pr\u00e9voit une recrudescence des attaques ciblant le cloud via des fichiers ELF (Executable and Linkage Format) Linux r\u00e9utilis\u00e9s ou modifi\u00e9s. Gr\u00e2ce aux donn\u00e9es issues de ses outils d\u2019apprentissage automatique, Unit 42 pr\u00e9voit une recrudescence des attaques ciblant le cloud via des fichiers ELF (Executable and Linkage Format) Linux r\u00e9utilis\u00e9s ou modifi\u00e9s.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/elf-based-malware-targets-cloud\/","og_locale":"fr_FR","og_type":"article","og_title":"L\u2019\u00e9volution des binaires\u00a0Linux dans les op\u00e9rations cibl\u00e9es sur le cloud","og_description":"Gr\u00e2ce aux donn\u00e9es issues de ses outils d\u2019apprentissage automatique, Unit 42 pr\u00e9voit une recrudescence des attaques ciblant le cloud via des fichiers ELF (Executable and Linkage Format) Linux r\u00e9utilis\u00e9s ou modifi\u00e9s. Gr\u00e2ce aux donn\u00e9es issues de ses outils d\u2019apprentissage automatique, Unit 42 pr\u00e9voit une recrudescence des attaques ciblant le cloud via des fichiers ELF (Executable and Linkage Format) Linux r\u00e9utilis\u00e9s ou modifi\u00e9s.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/elf-based-malware-targets-cloud\/","og_site_name":"Unit 42","article_published_time":"2025-06-10T16:04:29+00:00","article_modified_time":"2025-06-26T16:24:46+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/02_Cloud_cybersecurity_research_Overview_1920x900.jpg","type":"image\/jpeg"}],"author":"Nathaniel Quist, Bill Batchelor","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/elf-based-malware-targets-cloud\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/elf-based-malware-targets-cloud\/"},"author":{"name":"Nathaniel Quist","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/6f4153adb969c91f103a21af22c5d1de"},"headline":"L\u2019\u00e9volution des binaires\u00a0Linux dans les op\u00e9rations cibl\u00e9es sur le cloud","datePublished":"2025-06-10T16:04:29+00:00","dateModified":"2025-06-26T16:24:46+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/elf-based-malware-targets-cloud\/"},"wordCount":2747,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/elf-based-malware-targets-cloud\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/02_Cloud_cybersecurity_research_Overview_1920x900.jpg","keywords":["endpoint","Linux Malware","Machine Learning","PowerShell","Remote Access Trojan","VBScript","Winnti"],"articleSection":["\u00c9tudes sur la cybers\u00e9curit\u00e9 du cloud","Malware","Recherche sur les menaces"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/elf-based-malware-targets-cloud\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/elf-based-malware-targets-cloud\/","name":"L\u2019\u00e9volution des binaires\u00a0Linux dans les op\u00e9rations cibl\u00e9es sur le cloud","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/elf-based-malware-targets-cloud\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/elf-based-malware-targets-cloud\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/02_Cloud_cybersecurity_research_Overview_1920x900.jpg","datePublished":"2025-06-10T16:04:29+00:00","dateModified":"2025-06-26T16:24:46+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/6f4153adb969c91f103a21af22c5d1de"},"description":"Gr\u00e2ce aux donn\u00e9es issues de ses outils d\u2019apprentissage automatique, Unit 42 pr\u00e9voit une recrudescence des attaques ciblant le cloud via des fichiers ELF (Executable and Linkage Format) Linux r\u00e9utilis\u00e9s ou modifi\u00e9s. Gr\u00e2ce aux donn\u00e9es issues de ses outils d\u2019apprentissage automatique, Unit 42 pr\u00e9voit une recrudescence des attaques ciblant le cloud via des fichiers ELF (Executable and Linkage Format) Linux r\u00e9utilis\u00e9s ou modifi\u00e9s.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/elf-based-malware-targets-cloud\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/elf-based-malware-targets-cloud\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/elf-based-malware-targets-cloud\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/02_Cloud_cybersecurity_research_Overview_1920x900.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/02_Cloud_cybersecurity_research_Overview_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of . Vibrant futuristic cityscape with glowing neon lines, clouds, and a dramatic sky at twilight."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/elf-based-malware-targets-cloud\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"L\u2019\u00e9volution des binaires\u00a0Linux dans les op\u00e9rations cibl\u00e9es sur le cloud"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/6f4153adb969c91f103a21af22c5d1de","name":"Nathaniel Quist","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/947819d65069de51e7512d05c4607081","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Nathaniel-Quist_Headshot-Insights-300x300.png","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Nathaniel-Quist_Headshot-Insights-300x300.png","caption":"Nathaniel Quist"},"description":"Nathaniel Quist is the Manager of the Cloud Threat Intelligence Team for Cortex Cloud, where he collaborates with the Cortex and Unit 42 researchers to track threat actors targeting cloud platforms and services. He holds a Master of Science in Information Security Engineering from The SANS Institute and has authored several publications for Palo Alto Networks' Unit 42, Prisma Cloud, and the SANS InfoSec Reading Room. Outside of cloud threats, he enjoys puzzles, blockchain, and ranching.","url":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/author\/nathaniel-quist\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/144334","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/317"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=144334"}],"version-history":[{"count":4,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/144334\/revisions"}],"predecessor-version":[{"id":144373,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/144334\/revisions\/144373"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/142732"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=144334"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=144334"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=144334"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=144334"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=144334"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
Cet article examine les types de binaires malveillants que les acteurs de la menace d\u00e9veloppent pour cibler les environnements\u00a0Linux. Les fichiers\u00a0ELF sont un format standard couramment utilis\u00e9 pour les ex\u00e9cutables dans ces syst\u00e8mes d\u2019exploitation. Les chercheurs estiment que 70<\/a> \u00e0 90<\/a>\u00a0% des instances de calcul dans les environnements\u00a0cloud reposent sur des variantes de Linux. Si les malwares\u00a0ELF ne sont pas nouveaux, les familles identifi\u00e9es et les techniques d\u2019attaque qu\u2019elles mobilisent devraient \u00e9voluer de mani\u00e8re \u00e0 viser plus sp\u00e9cifiquement les infrastructures\u00a0cloud.<\/p>\n Les familles de malwares\u00a0Linux bien connues peuvent \u00e9voluer pour cibler activement les ressources\u00a0cloud. En raison de la pr\u00e9sence g\u00e9n\u00e9ralis\u00e9e de syst\u00e8mes\u00a0Linux dans les environnements\u00a0cloud standards, les cybercriminels peuvent facilement adapter et d\u00e9ployer ces familles de malwares dans des workloads\u00a0cloud et des environnements de conteneurs.<\/p>\n Nos chercheurs ont identifi\u00e9 plusieurs souches \u00e9volutives de malwares\u00a0ELF, parmi lesquelles NoodleRAT, Winnti, SSHdInjector, Pygmy Goat et AcidPour. Ces binaires\u00a0ELF utilisent des techniques telles que le d\u00e9tournement du linker dynamique, qui exploitent notamment la variable d\u2019environnement LD_PRELOAD<\/span> pour\u00a0:<\/p>\n Cela permet aux acteurs de la menace d\u2019assurer leur persistance, de maintenir des canaux de commande et de contr\u00f4le (C2) discrets, d\u2019exfiltrer des donn\u00e9es de mani\u00e8re furtive et de perturber les op\u00e9rations en effa\u00e7ant des donn\u00e9es critiques.<\/p>\n Ce logiciel malveillant permet aux acteurs de la menace de mener des op\u00e9rations de commande et de contr\u00f4le (C2) sur un terminal cibl\u00e9, notamment\u00a0:<\/p>\n NoodleRAT existe en versions Windows et Linux. La variante\u00a0Linux<\/a> est une porte d\u00e9rob\u00e9e au format\u00a0ELF. Bien que son code pr\u00e9sente des similitudes avec d'autres malwares\u00a0Linux tels que Rekoobe et Tiny SHell, NoodleRAT est consid\u00e9r\u00e9 comme une famille de logiciels malveillants \u00e0 part enti\u00e8re.<\/p>\n NoodleRAT a \u00e9t\u00e9 observ\u00e9 dans le cadre d\u2019intrusions \u00e0 des fins de cybercriminalit\u00e9 et de cyberespionnage, notamment par des acteurs de la menace sinophones tels que Rocke<\/a>, ainsi que par des acteurs pr\u00e9sum\u00e9s \u00e9tatiques associ\u00e9s \u00e0 la campagne Cloud\u00a0Snooper<\/a>. Les auteurs de la variante\u00a0Linux de NoodleRAT ont cibl\u00e9 des entit\u00e9s dans plusieurs pays de la r\u00e9gion\u00a0Asie-Pacifique, notamment en Tha\u00eflande, en Inde, au Japon, en Malaisie et \u00e0 Ta\u00efwan.<\/p>\n Winnti existe en versions Windows et Linux. Ce logiciel malveillant assure sa persistance en d\u00e9tournant la variable d\u2019environnement LD_PRELOAD<\/span>, ce qui lui permet de se charger en m\u00e9moire sans modifier les ex\u00e9cutables syst\u00e8me l\u00e9gitimes.<\/p>\n La porte d\u00e9rob\u00e9e dispose des fonctionnalit\u00e9s suivantes\u00a0:<\/p>\n La variante\u00a0Linux du malware\u00a0Winnti<\/a> est une porte d\u00e9rob\u00e9e utilis\u00e9e par plusieurs groupes d\u2019acteurs de la menace li\u00e9s \u00e0 la Chine, notamment ceux que nous suivons sous les noms de Starchy\u00a0Taurus (\u00e9galement connu sous le nom de Winnti<\/a>\u00a0Group ou BARIUM) et Nuclear\u00a0Taurus (aussi appel\u00e9 Tumbleweed\u00a0Typhoon, THORIUM ou Bronze\u00a0Vapor<\/a>). Cette porte d\u00e9rob\u00e9e se compose de deux fichiers\u00a0: un binaire\u00a0ELF principal (libxselinux<\/span>) et une biblioth\u00e8que dynamique suppl\u00e9mentaire (libxselinux.so<\/span>).<\/p>\n Cette porte d\u00e9rob\u00e9e\u00a0SSH<\/a> pour Linux injecte du code malveillant dans le d\u00e9mon\u00a0SSH (sshd<\/span>) pendant son ex\u00e9cution. Le code inject\u00e9 permet \u00e0 l\u2019acteur malveillant de maintenir un acc\u00e8s persistant et facilite des activit\u00e9s malveillantes telles que\u00a0:<\/p>\n SSHdInjector a \u00e9t\u00e9 observ\u00e9 dans des campagnes men\u00e9es par plusieurs acteurs de la menace li\u00e9s \u00e0 la Chine, notamment un groupe que nous suivons sous le nom de Digging Taurus<\/a> (\u00e9galement connu sous les noms de Daggerfly et Evasive Panda). Les cibles<\/a> sont li\u00e9es \u00e0 des activit\u00e9s de cyberespionnage et incluent des individus, des institutions gouvernementales ainsi que des organisations du secteur des t\u00e9l\u00e9communications.<\/p>\n Pygmy\u00a0Goat est une porte d\u00e9rob\u00e9e\u00a0Linux, d\u00e9couverte sur des dispositifs Sophos\u00a0XG\u00a0Firewall<\/a>, mais con\u00e7ue pour cibler d\u2019autres syst\u00e8mes bas\u00e9s sur Linux. Le logiciel malveillant obtient un acc\u00e8s initial et persiste gr\u00e2ce \u00e0 des fonctionnalit\u00e9s de rootkit, en exploitant la biblioth\u00e8que libsophos.so<\/span>, vuln\u00e9rable \u00e0 un contournement de l\u2019authentification (CVE-2022-1040<\/a>).<\/p>\n L\u2019ex\u00e9cutable s\u2019injecte ensuite dans le d\u00e9mon\u00a0SSH (sshd<\/span>) en utilisant la variable d\u2019environnement LD_PRELOAD<\/span> sur l\u2019appareil cibl\u00e9, ce qui lui permet d\u2019intercepter les communications SSH. L\u2019acteur de la menace peut initier la communication avec le logiciel malveillant en envoyant des paquets ICMP sp\u00e9cialement con\u00e7us \u2013 une technique connue sous le nom de port knocking<\/a>\u00a0\u2013 ou en transmettant une s\u00e9quence de magic\u00a0bytes<\/a> int\u00e9gr\u00e9e au trafic\u00a0SSH.<\/p>\n Ses capacit\u00e9s incluent\u00a0:<\/p>\n Les cibles signal\u00e9es incluent des agences gouvernementales et leurs fournisseurs, des ONG, ainsi que des entit\u00e9s des secteurs de la sant\u00e9 et des transports dans la r\u00e9gion\u00a0Asie-Pacifique.<\/p>\n AcidRain et sa variante plus r\u00e9cente, AcidPour<\/a>, sont des souches de malware destructeur de type\u00a0wiper pour Linux, attribu\u00e9es \u00e0 l\u2019acteur mena\u00e7ant russe Razing\u00a0Ursa<\/a> (\u00e9galement connu sous les noms de Sandworm et Voodoo Bear). AcidRain est un binaire\u00a0ELF con\u00e7u pour cibler les modems et routeurs bas\u00e9s sur l\u2019architecture\u00a0MIPS<\/a>.<\/p>\n AcidPour est un binaire\u00a0ELF similaire, mais compil\u00e9 pour l\u2019architecture\u00a0x86. Il peut ainsi viser un \u00e9ventail plus large de cibles, notamment des baies de stockage sous Linux\u00a0x86, des \u00e9quipements r\u00e9seau et des syst\u00e8mes de contr\u00f4le industriel.<\/p>\n -es deux wipers utilisent des commandes d\u2019entr\u00e9e\/sortie (IOCTL) pour d\u00e9truire les donn\u00e9es, puis se suppriment eux\u2013m\u00eames afin d\u2019\u00e9chapper \u00e0 la d\u00e9tection. AcidPour, ou une nouvelle variante de ce binaire, pourrait s\u2019av\u00e9rer redoutablement efficace pour effacer des syst\u00e8mes\u00a0cloud non prot\u00e9g\u00e9s bas\u00e9s sur x86, si un acteur de la menace parvenait \u00e0 obtenir un acc\u00e8s shell \u2013\u00a0par exemple \u00e0 la suite du d\u00e9ploiement r\u00e9ussi d\u2019un web\u00a0shell ou d\u2019une \u00e9vasion de conteneur.<\/p>\n Nous avons observ\u00e9 de nouvelles valeurs de hachage associ\u00e9es \u00e0 ces familles de malwares dans les mois ayant pr\u00e9c\u00e9d\u00e9 ce rapport. \u00c0 mesure que les organisations poursuivent leur migration vers le cloud, les acteurs de la menace continueront \u00e0 d\u00e9velopper ces familles de malwares et \u00e0 se tourner vers les environnements d\u2019ex\u00e9cution\u00a0cloud. Cette tendance souligne la n\u00e9cessit\u00e9 de renforcer les capacit\u00e9s de d\u00e9tection et de pr\u00e9vention dans les workloads\u00a0cloud et les conteneurs.<\/p>\n En 2024, les alertes bas\u00e9es sur le cloud ont augment\u00e9 de 388\u00a0% en moyenne. Nous pr\u00e9voyons que les acteurs de la menace ciblant les environnements\u00a0cloud utiliseront des outils de plus en plus sophistiqu\u00e9s dans leurs attaques. Cela inclura la modification, l\u2019am\u00e9lioration et l\u2019adaptation d\u2019outils existants qui, historiquement, ne visaient que les OS\u00a0Linux.<\/p>\n \u00c9tant donn\u00e9 que jusqu\u2019\u00e0 90\u00a0% des environnements\u00a0cloud reposeraient sur des instances de calcul\u00a0Linux, il est logique que les acteurs de la menace cherchent d\u00e9sormais \u00e0 d\u00e9ployer ces familles de malwares directement contre les environnements\u00a0cloud.<\/p>\n Il est plus crucial que jamais de d\u00e9ployer des agents de s\u00e9curit\u00e9 sur les instances de calcul\u00a0cloud afin de d\u00e9tecter toute activit\u00e9 malveillante en cours d\u2019ex\u00e9cution, tout trafic r\u00e9seau suspect ou tout comportement anormal. Les agents de s\u00e9curit\u00e9 modernes pour environnements\u00a0cloud sont capables d\u2019identifier ces familles de malwares. L\u2019int\u00e9gration de l\u2019apprentissage automatique dans les solutions de d\u00e9tection sur les terminaux repr\u00e9sente une avanc\u00e9e majeure pour la s\u00e9curit\u00e9\u00a0cloud.<\/p>\n Palo Alto Networks\u00a0: protection et att\u00e9nuation des menaces<\/p>\n Nous recommandons une approche de d\u00e9tection bas\u00e9e sur l\u2019apprentissage automatique pour identifier les ex\u00e9cutables malveillants. Cette m\u00e9thode \u00e9volutive doit prendre en compte plusieurs facteurs, notamment\u00a0:<\/p>\n La figure\u00a01 montre un binaire\u00a0ELF jusque-l\u00e0 inconnu ayant d\u00e9clench\u00e9 une alerte\u00a0Cortex bas\u00e9e sur l\u2019apprentissage automatique.<\/p>\n Avec Cortex\u00a0Cloud<\/a>, Palo\u00a0Alto\u00a0Networks <\/a>a mis au point un nouveau module d\u2019apprentissage automatique sp\u00e9cifiquement con\u00e7u pour d\u00e9tecter les fichiers ELF sous Linux. Nos chercheurs ont men\u00e9 des tests sur plus de 100 binaires ELF issus des cinq familles de malwares abord\u00e9es dans cet article. Chaque famille de malwares a \u00e9t\u00e9 d\u00e9tect\u00e9e avec succ\u00e8s, et 92 % de l\u2019ensemble des \u00e9chantillons ont \u00e9t\u00e9 correctement identifi\u00e9s comme malveillants.<\/p>\n Les 8\u00a0% restants correspondaient \u00e0 des biblioth\u00e8ques partag\u00e9es Linux (.so), qui sortaient du p\u00e9rim\u00e8tre du mod\u00e8le utilis\u00e9.<\/p>\n Les fichiers d\u00e9tect\u00e9s ont \u00e9t\u00e9 class\u00e9s selon les crit\u00e8res de test suivants\u00a0:<\/p>\n Les \u00e9chantillons ayant obtenu un score sup\u00e9rieur ou \u00e9gal \u00e0 0,85 sont consid\u00e9r\u00e9s comme malveillants, ceux dont le score se situe entre 0,84 et 0,65 comme suspects, et ceux dont le score est inf\u00e9rieur \u00e0 0,64 comme b\u00e9nins.<\/p>\n La figure\u00a02 montre que 61\u00a0% des \u00e9chantillons test\u00e9s ont obtenu un score sup\u00e9rieur \u00e0 0,85 et ont donc \u00e9t\u00e9 consid\u00e9r\u00e9s comme malveillants.<\/p>\n 92,3\u00a0% de l\u2019ensemble des \u00e9chantillons soumis ont d\u00e9pass\u00e9 le seuil de suspicion de 0,65. Cela d\u00e9montre que tous les \u00e9chantillons, \u00e0 l\u2019exception de 7,7\u00a0% d\u2019entre eux, seraient consid\u00e9r\u00e9s comme suspects et d\u00e9clencheraient une alerte s\u2019ils \u00e9taient ex\u00e9cut\u00e9s dans l\u2019environnement.<\/p>\n Nous avons \u00e9galement utilis\u00e9 le module d\u2019apprentissage automatique\u00a0PowerShell et VBS de Cortex pour \u00e9tudier la d\u00e9tection des op\u00e9rations sp\u00e9cifiques au cloud. Nous avons soumis plus de 100\u00a0scripts PowerShell et Visual Basic (VBS) au mod\u00e8le d\u2019apprentissage. Ces scripts, s\u00e9lectionn\u00e9s manuellement, \u00e9taient identifi\u00e9s comme malveillants et r\u00e9alisaient les activit\u00e9s suivantes\u00a0:<\/p>\n La figure\u00a03 montre que 67\u00a0% de ces scripts ont bien \u00e9t\u00e9 identifi\u00e9s comme malveillants ou suspects. Il est \u00e0 noter que pr\u00e8s de 96\u00a0% des \u00e9chantillons malveillants ont obtenu un score sup\u00e9rieur ou \u00e9gal \u00e0 0,95.<\/p>\n Les d\u00e9fenseurs peuvent obtenir des informations pr\u00e9cieuses en chassant les menaces li\u00e9es aux ex\u00e9cutions courantes de malwares\u00a0ELF sur les terminaux du cloud. Cela peut se faire gr\u00e2ce \u00e0 la d\u00e9tection et r\u00e9ponse dans le cloud (CDR), une solution de s\u00e9curit\u00e9 qui combine\u00a0:<\/p>\n Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s contre les menaces \u00e9voqu\u00e9es ci-dessus gr\u00e2ce aux produits suivants\u00a0:<\/p>\n Si vous pensez avoir \u00e9t\u00e9 compromis ou en cas de question urgente, prenez contact avec l\u2019\u00e9quipe de r\u00e9ponse \u00e0 incident d\u2019Unit\u00a042<\/a> ou appelez les num\u00e9ros suivants\u00a0:<\/p>\n Palo\u00a0Alto\u00a0Networks a partag\u00e9 ces r\u00e9sultats avec les membres de la Cyber\u00a0Threat\u00a0Alliance (CTA). Les membres de la CTA utilisent ces renseignements pour d\u00e9ployer rapidement des mesures de protection aupr\u00e8s de leurs clients et pour perturber syst\u00e9matiquement les cyberacteurs malveillants. En savoir plus sur la Cyber Threat Alliance<\/a>.<\/p>\n Plusieurs sources ont \u00e9t\u00e9 utilis\u00e9es pour produire et \u00e9tayer cette recherche\u00a0:<\/p>\n Gr\u00e2ce aux donn\u00e9es issues de ses outils d\u2019apprentissage automatique, Unit 42 pr\u00e9voit une recrudescence des attaques ciblant le cloud via des fichiers ELF (Executable and Linkage Format) Linux r\u00e9utilis\u00e9s ou modifi\u00e9s. <\/p>\n","protected":false},"author":317,"featured_media":142732,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8724,8787,8832],"tags":[9229,9230,9231,9232,9233,9234,9235],"product_categories":[9041,9046,9151],"coauthors":[1394,8920],"class_list":["post-144334","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cloud-cybersecurity-research-fr","category-malware-fr","category-threat-research-fr","tag-endpoint-fr","tag-linux-malware-fr","tag-machine-learning-fr","tag-powershell-fr","tag-remote-access-trojan-fr","tag-vbscript-fr","tag-winnti-fr","product_categories-cortex-fr","product_categories-cortex-cloud-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"\n<\/a>L\u2019\u00e9volution des binaires\u00a0ELF<\/h2>\n
\n
<\/a>NoodleRAT<\/h3>\n
\n
<\/a>Winnti<\/h3>\n
\n
<\/a>SSHdInjector<\/h3>\n
\n
<\/a>Pygmy Goat<\/h3>\n
\n
<\/a>Acid Pour\/AcidRain<\/h3>\n
<\/a>Conclusion<\/h2>\n
\n
![\"Capture](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/word-image-637800-144334-1.png\")
<\/a>D\u00e9tections\u00a0ELF par apprentissage automatique<\/h4>\n
\n
![\"Diagramme](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/chart-10.png\")
<\/a>D\u00e9tections\u00a0PowerShell et VBS par apprentissage automatique<\/h4>\n
\n
![\"Diagramme](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/chart-11.png\")
Cortex\u00a0Cloud<\/strong><\/h2>\n
\n
\n
\n
<\/a>Ressources compl\u00e9mentaires<\/h2>\n
\n