Un cheval de Troie récemment découvert, baptisé ZuoRAT, cible les professionnels en situation de télétravail en exploitant les failles de leurs routeurs, bien souvent non suffisament protégés. Selon les équipes de la société de cybersécurité Black Lotus Labs de Lumen, ZuoRAT fait partie d’une campagne très ciblée et sophistiquée qui vise les professionnels en Europe et en Amérique du Nord depuis près de deux ans, c’est-à-dire depuis le début de la crise sanitaire.
« Les tactiques, techniques et procédures que les analystes ont observées sont très sophistiquées et portent les marques de ce qui est probablement un acteur de menace d’État-nation », fait savoir Lumen, qui a repéré pour la première fois ce malware à compter d’octobre 2020. Et d’expliquer qu’avec l’essor du télétravail, les acteurs de la menace ont saisi l’opportunité de cibler spécifiquement les routeurs des particuliers, rarement surveillés ou corrigés par les administrateurs de réseau d’entreprise car situés en dehors des périmètres de réseau traditionnels.
La société estime que les capacités du malware suggèrent qu’il est l’œuvre d’un acteur très sophistiqué. Ces capacités comprennent : « l’accès à des appareils SOHO de marques et de modèles différents, la collecte d’informations sur l’hôte et le réseau local pour informer le ciblage, l’échantillonnage et le détournement des communications réseau pour obtenir un accès potentiellement persistant aux appareils à l’intérieur du pays et une infrastructure C2 intentionnellement furtive tirant parti des communications entre routeurs en silos à plusieurs niveaux. »
De nombreuses victimes déjà dénombrées
Lumen admet qu’il n’a qu’une lecture étroite des capacités plus larges de l’acteur à l’origine de ce malware, mais ses chercheurs estiment avec une « grande confiance » que les éléments qu’il suit font partie d’une campagne plus large. La société estime que la campagne reposant sur ZuoRAT a déjà fait au moins 80 victimes, même s’il est probable que beaucoup plus ont été touchées.
Black Lotus Labs a observé des télémétries indiquant des infections provenant de nombreux fabricants de routeurs SOHO, dont ASUS, Cisco, DrayTek et Netgear. Les éléments de la campagne que les chercheurs ont glanés à ce jour comprennent des attaques de ZuoRAT sur les routeurs des particuliers, un chargeur pour Windows compilé en C++ et trois agents qui permettent l’énumération des périphériques, le téléchargement et l’envoi de fichiers, le détournement des communications réseau (DNS/HTTP) et l’injection de processus.
Les trois agents sont les suivants
- CBeacon – Une RAT développée sur mesure et écrite en C++, qui avait la capacité de télécharger des fichiers, d’exécuter des commandes arbitraires et de persister sur la machine infectée via une méthode de détournement du modèle composant-objet (COM).
- GoBeacon – Un RAT développé sur mesure et écrit en Go. Ce cheval de Troie avait presque les mêmes fonctionnalités que CBeacon, mais permettait également une compilation croisée sur les dispositifs Linux et MacOS.
- Cobalt Strike – Dans certains cas, ce cadre d’accès à distance facilement disponible a été utilisé à la place de CBeacon ou de GoBeacon.
« Les campagnes malveillantes visant les routeurs constituent une menace sérieuse pour les entreprises, car les routeurs se trouvent en dehors du périmètre de sécurité conventionnel et présentent souvent des faiblesses qui rendent leur compromission relativement simple à réaliser », explique Mark Dehus, directeur des renseignements sur les menaces pour Lumen Black Lotus Labs.
« Les organisations doivent surveiller de près les appareils à distance et rechercher tout signe d’activité décrit dans cette étude. Ce niveau de sophistication nous amène à penser que cette campagne pourrait ne pas être limitée au petit nombre de victimes observées. Pour atténuer la menace, elles doivent s’assurer que la planification des correctifs inclut les routeurs et confirmer que ces appareils exécutent les derniers logiciels disponibles. »
Source : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));