Listen to this Post
Si vous utilisez SharePoint dans votre entreprise, cette info vous concerne directement. Une nouvelle campagne d’attaque du groupe FIN7 exploite des sites SharePoint compromis pour déployer un malware codé en Python : Anubis.
🔥 Comment ça fonctionne ?
1️⃣ L’attaque commence par un fichier ZIP envoyé via une campagne de spam. L’utilisateur, pensant ouvrir un document légitime, exécute en réalité un script Python.
2️⃣ Ce script déchiffre et exécute le code malveillant en mémoire, évitant ainsi d’écrire des fichiers suspects sur le disque.
3️⃣ Une fois en place, Anubis communique avec un serveur distant via un canal encodé en Base64 pour :
✅ Exécuter des commandes à distance sur Windows
✅ Voler des données : variables d’environnement, fichiers, captures d’écran, keylogging (espionnage des frappes clavier)
✅ Modifier la base de registre et charger des DLL directement en mémoire
✅ Tuer des processus et effacer ses traces
🏴☠️ Pourquoi c’est extrêmement dangereux ?
✅ Attaque fileless : rien d’écrit sur le disque, difficile à détecter
✅ Exécution en mémoire : évite la plupart des antivirus
✅ Exploitation d’un service légitime (SharePoint) : facilite le phishing et contourne les filtrages
🔐 Comment se protéger ?
🔹 Ne téléchargez pas de fichiers ZIP depuis des sources non vérifiées
🔹 Restreignez les exécutions de scripts Python sur les machines des employés
🔹 Activez la journalisation avancée pour détecter les connexions suspectes
🔹 Mettez en place un filtrage strict des contenus SharePoint et des e-mails
You Should Know:
🔒 Detecting & Preventing Anubis Malware Attacks
1. Restrict Python Execution (Windows)
Disable Python execution via Group Policy Set-ExecutionPolicy -ExecutionPolicy Restricted -Scope CurrentUser Or block Python scripts entirely New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" -Force Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" -Name "TransparentEnabled" -Value 0
2. Monitor Suspicious Processes
Linux (if the attack spreads)
ps aux | grep -i "python|base64"
Windows (PowerShell)
Get-Process | Where-Object { $<em>.ProcessName -like "python" -or $</em>.Description -like "base64" }
3. Check for Unusual Network Connections
Linux netstat -tulnp | grep -E "python|base64" Windows netstat -ano | findstr "ESTABLISHED"
4. Enable Advanced Logging (Windows Event Logs)
Enable PowerShell Script Block Logging New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Force Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1
5. Detect Base64-Encoded C2 Traffic
Using tcpdump (Linux)
tcpdump -i eth0 -A | grep -E "([A-Za-z0-9+/]{4})([A-Za-z0-9+/]{3}=|[A-Za-z0-9+/]{2}==)?"
6. Disable Unnecessary SharePoint Features
Disable macros in SharePoint Online Set-SPOTenant -DisableCustomScripts $true
What Undercode Say:
This attack highlights the growing sophistication of cybercriminals leveraging legitimate platforms like SharePoint for malware distribution. Key takeaways:
– Memory-based attacks bypass traditional AV detection → Use AMSI (Antimalware Scan Interface) and behavioral analysis tools.
– Python scripts are increasingly weaponized → Restrict script execution via AppLocker or Software Restriction Policies.
– Base64 encoding hides malicious traffic → Deploy IDS/IPS with deep packet inspection.
– SharePoint security requires strict controls → Enforce Zero Trust policies and DLP (Data Loss Prevention).
Expected Output: A hardened environment with restricted script execution, enhanced logging, and real-time traffic monitoring to mitigate such attacks.
References:
Reported By: Naim Aouaichia – Hackers Feeds
Extra Hub: Undercode MoN
Basic Verification: Pass ✅
