Image: xiaoliangge/Adobe Stock Comme précédemment exposés exposés , routeurs peuvent être utilisés par les acteurs de la menace comme emplacements efficaces pour planter des logiciels malveillants, souvent pour cyberespionnage . Les routeurs sont souvent moins protégés que les appareils standard et utilisent souvent des versions modifiées de systèmes d’exploitation existants. Par conséquent, le ciblage des routeurs peut être intéressant pour les attaquants, mais plus difficile à compromettre et à utiliser qu’un paramètre ou un serveur habituel.
Lumen’s Black Lotus Labs a exposé nouveaux logiciels malveillants ciblant routeurs dans une campagne nommée Hiatus par les chercheurs.
Aller à :
- Qu’est-ce que la campagne de logiciels malveillants Hiatus?
- Campagne ciblée
- 4 étapes pour protéger contre la menace malware Hiatus Qu’est-ce que la campagne de logiciels malveillants Hiatus?
La campagne Hiatus cible principalement les modèles de routeur DrayTek Vigor 2960 et 3900, qui dirigent une architecture i386. Ces routeurs sont principalement utilisés par des entreprises de taille moyenne, car les capacités de routeur appuient quelques centaines de connexions VPN des employés.
Les chercheurs ont également trouvé d’autres binaires malveillants ciblant les architectures MIPS et ARM.
Le vecteur de compromis initial reste inconnu, mais une fois que les attaquants ont accès aux routeurs ciblés, ils déposent un script bash. Lorsque ce script bash est exécuté, il télécharge deux fichiers supplémentaires: le malware HiatusRAT et une variante de l’outil tcpdump légitime, qui permet la capture de paquets réseau.
Une fois ces fichiers exécutés, les attaquants contrôlent le routeur et peuvent télécharger des fichiers ou exécuter des commandes arbitraires, intercepter le trafic réseau à partir du périphérique infecté ou utiliser le routeur comme routeur SOCKS5 dispositif proxy, qui peut être utilisé pour de nouveaux compromis ou pour cibler d’autres entreprises.
HiatusRAT malware
Couverture de sécurité à lire
Les meilleures menaces pour la cybersécurité 2023
Meilleur logiciel de gestion d’actifs IT
Rencontrez le dispositif de cybersécurité portable le plus complet
Comment sécuriser votre email par cryptage, gestion de mot de passe et plus (TechRepublic Premium)
Lorsque le RAT est lancé, il vérifie si le port 8816 est utilisé. Si le port est utilisé par un processus, il le tue et ouvre un nouvel auditeur sur le port, en veillant à ce qu’une seule instance du malware fonctionne sur l’appareil.
Il collecte ensuite des informations sur l’appareil compromis, telles que les informations du système (comme la version du noyau, l’adresse MAC, le type d’architecture et la version du firmware), les informations de réseau (configuration des interfaces réseau et adresses IP locales) et les informations du système de fichiers (points de montage, liste des répertoires, type de système de fichiers et système de mémoire virtuel). De plus, il recueille une liste de tous les processus d’exécution.
Après avoir recueilli toutes ces informations, le malware l’envoie à un serveur C2 contrôlé par un attaquant.
Le logiciel malveillant dispose de plus de capacités, telles que la mise à jour de son fichier de configuration, la fourniture à l’attaquant d’une coque distante, la lecture/déleting/uploading des fichiers, le téléchargement et l’exécution de fichiers, ou la transmission de paquets SOCKS5 ou simple TCP.
Capture de paquets réseau
Outre le HiatusRAT, l’acteur de menace déploie également une variante de l’outil tcpdump légitime, qui permet de capturer des paquets réseau sur le dispositif compromis.
Le script bash utilisé par l’acteur de menace a montré un intérêt particulier pour les connexions sur les ports 21, 25, 110 et 143, qui sont habituellement dédiés au protocole de transfert de fichiers et aux transferts de courriel (SMTP, POP3 et IMAP protocoles de courriel).
Le script permet plus de reniflement de port, si nécessaire. Si utilisé, les paquets capturés sont envoyés à un C2 de téléchargement différent du battement de coeur C2, après que l’interception du paquet atteint une certaine longueur.
Cela permet à l’acteur de menace d’intercepter passivement les fichiers complets transférés via le protocole FTP ou les courriels qui traversent le dispositif infecté.
Campagne ciblée
Black Lotus Labs a identifié environ 100 adresses IP uniques communiquant avec les serveurs C2 contrôlés par l’acteur de menace depuis juillet 2022, qui pourraient être classées en deux catégories :
Les entreprises de taille moyenne qui exploitent leurs propres serveurs d’email, possèdent parfois des plages d’adresses IP sur Internet qui sont capables de les identifier. Les entreprises pharmaceutiques, les services informatiques ou les cabinets de conseil, et un gouvernement municipal, entre autres, pourraient être identifiées. Les chercheurs soupçonnent que le ciblage des entreprises informatiques est un choix pour permettre l’accès en aval aux environnements des clients.
Les gammes IP des fournisseurs de services Internet utilisées par des cibles. La repartition géographique des cibles montre un grand intérêt pour les entreprises américaines et certains autres pays européens, en plus de l’Amérique du Nord ( Figure A ).
Figure A
Image: Lumen’s Black Lotus Labs. Heat map pour Hiatus malware campaign infections. Selon les chercheurs, environ 2 700 routeurs DrayTek Vigor 2960 et 1 400 DrayTek Vigor 3900 sont connectés à Internet. L’infection d’environ 100 de ces routeurs rend la campagne petite et difficile à détecter; le fait que seulement 100 routeurs sur des milliers sont touchés souligne la possibilité que l’acteur de menace ne vise que des cibles particulières et ne s’intéresse pas à un ciblage plus large.
4 étapes pour protéger contre la menace malware Hiatus
Rebooter régulièrement les routeurs et garder leur firmware et logiciel patché pour empêcher le compromis des vulnérabilités communes.
Déployer des solutions de sécurité avec des capacités pour enregistrer et surveiller le comportement des routeurs.
Les dispositifs de fin de vie devraient être supprimés et remplacés par des modèles pris en charge qui peuvent être mis à jour pour une sécurité maximale.
Tout trafic passant par les routeurs doit être crypté de sorte que même l’interception ne le rend pas exploitable.
Lire la suite : Intrusion detection policy (TechRepublic Premium)
Divulgation : Je travaille pour Trend Micro, mais les vues exprimées dans cet article sont à moi.
### Cybersecurity Insider Newsletter
Renforcer les défenses de sécurité de votre organisation en gardant au courant des dernières nouvelles, solutions et pratiques de cybersécurité.
Livré mardi et jeudi Inscrivez-vous aujourd’hui — title: “Nouvelle campagne de malware Hiatus cible routeurs” date: “2023-07-20T04:03:01” draft: false description: “Un nouveau malware baptisé HiatusRAT infecte les routeurs pour espionner ses cibles, principalement en Europe et aux États-Unis. Apprenez quels modèles de routeurs sont principalement ciblés et comment protéger de cette menace de sécurité. " autor: “toto” image: “https://cdn.99tz.top/08f6066323/2023/04/6539bd2ace204637be8fac0a627c0892.webp" cover: “https://cdn.99tz.top/08f6066323/2023/04/6539bd2ace204637be8fac0a627c0892.webp" tags: [‘cybersecurity’, ‘routers’] categories: [‘Networking’, ‘Security’] theme: light
Image: xiaoliangge/Adobe Stock Comme précédemment exposés exposés , routeurs peuvent être utilisés par les acteurs de la menace comme emplacements efficaces pour planter des logiciels malveillants, souvent pour cyberespionnage . Les routeurs sont souvent moins protégés que les appareils standard et utilisent souvent des versions modifiées de systèmes d’exploitation existants. Par conséquent, le ciblage des routeurs peut être intéressant pour les attaquants, mais plus difficile à compromettre et à utiliser qu’un paramètre ou un serveur habituel.
Lumen’s Black Lotus Labs a exposé nouveaux logiciels malveillants ciblant routeurs dans une campagne nommée Hiatus par les chercheurs.
Aller à :
- Qu’est-ce que la campagne de logiciels malveillants Hiatus?
- Campagne ciblée
- 4 étapes pour protéger contre la menace malware Hiatus Qu’est-ce que la campagne de logiciels malveillants Hiatus?
La campagne Hiatus cible principalement les modèles de routeur DrayTek Vigor 2960 et 3900, qui dirigent une architecture i386. Ces routeurs sont principalement utilisés par des entreprises de taille moyenne, car les capacités de routeur appuient quelques centaines de connexions VPN des employés.
Les chercheurs ont également trouvé d’autres binaires malveillants ciblant les architectures MIPS et ARM.
Le vecteur de compromis initial reste inconnu, mais une fois que les attaquants ont accès aux routeurs ciblés, ils déposent un script bash. Lorsque ce script bash est exécuté, il télécharge deux fichiers supplémentaires: le malware HiatusRAT et une variante de l’outil tcpdump légitime, qui permet la capture de paquets réseau.
Une fois ces fichiers exécutés, les attaquants contrôlent le routeur et peuvent télécharger des fichiers ou exécuter des commandes arbitraires, intercepter le trafic réseau à partir du périphérique infecté ou utiliser le routeur comme routeur SOCKS5 dispositif proxy, qui peut être utilisé pour de nouveaux compromis ou pour cibler d’autres entreprises.
HiatusRAT malware
Couverture de sécurité à lire
Les meilleures menaces pour la cybersécurité 2023
Meilleur logiciel de gestion d’actifs IT
Rencontrez le dispositif de cybersécurité portable le plus complet
Comment sécuriser votre email par cryptage, gestion de mot de passe et plus (TechRepublic Premium)
Lorsque le RAT est lancé, il vérifie si le port 8816 est utilisé. Si le port est utilisé par un processus, il le tue et ouvre un nouvel auditeur sur le port, en veillant à ce qu’une seule instance du malware fonctionne sur l’appareil.
Il collecte ensuite des informations sur l’appareil compromis, telles que les informations du système (comme la version du noyau, l’adresse MAC, le type d’architecture et la version du firmware), les informations de réseau (configuration des interfaces réseau et adresses IP locales) et les informations du système de fichiers (points de montage, liste des répertoires, type de système de fichiers et système de mémoire virtuel). De plus, il recueille une liste de tous les processus d’exécution.
Après avoir recueilli toutes ces informations, le malware l’envoie à un serveur C2 contrôlé par un attaquant.
Le logiciel malveillant dispose de plus de capacités, telles que la mise à jour de son fichier de configuration, la fourniture à l’attaquant d’une coque distante, la lecture/déleting/uploading des fichiers, le téléchargement et l’exécution de fichiers, ou la transmission de paquets SOCKS5 ou simple TCP.
Capture de paquets réseau
Outre le HiatusRAT, l’acteur de menace déploie également une variante de l’outil tcpdump légitime, qui permet de capturer des paquets réseau sur le dispositif compromis.
Le script bash utilisé par l’acteur de menace a montré un intérêt particulier pour les connexions sur les ports 21, 25, 110 et 143, qui sont habituellement dédiés au protocole de transfert de fichiers et aux transferts de courriel (SMTP, POP3 et IMAP protocoles de courriel).
Le script permet plus de reniflement de port, si nécessaire. Si utilisé, les paquets capturés sont envoyés à un C2 de téléchargement différent du battement de coeur C2, après que l’interception du paquet atteint une certaine longueur.
Cela permet à l’acteur de menace d’intercepter passivement les fichiers complets transférés via le protocole FTP ou les courriels qui traversent le dispositif infecté.
Campagne ciblée
Black Lotus Labs a identifié environ 100 adresses IP uniques communiquant avec les serveurs C2 contrôlés par l’acteur de menace depuis juillet 2022, qui pourraient être classées en deux catégories :
Les entreprises de taille moyenne qui exploitent leurs propres serveurs d’email, possèdent parfois des plages d’adresses IP sur Internet qui sont capables de les identifier. Les entreprises pharmaceutiques, les services informatiques ou les cabinets de conseil, et un gouvernement municipal, entre autres, pourraient être identifiées. Les chercheurs soupçonnent que le ciblage des entreprises informatiques est un choix pour permettre l’accès en aval aux environnements des clients.
Les gammes IP des fournisseurs de services Internet utilisées par des cibles. La repartition géographique des cibles montre un grand intérêt pour les entreprises américaines et certains autres pays européens, en plus de l’Amérique du Nord ( Figure A ).
Figure A
Image: Lumen’s Black Lotus Labs. Heat map pour Hiatus malware campaign infections. Selon les chercheurs, environ 2 700 routeurs DrayTek Vigor 2960 et 1 400 DrayTek Vigor 3900 sont connectés à Internet. L’infection d’environ 100 de ces routeurs rend la campagne petite et difficile à détecter; le fait que seulement 100 routeurs sur des milliers sont touchés souligne la possibilité que l’acteur de menace ne vise que des cibles particulières et ne s’intéresse pas à un ciblage plus large.
4 étapes pour protéger contre la menace malware Hiatus
Rebooter régulièrement les routeurs et garder leur firmware et logiciel patché pour empêcher le compromis des vulnérabilités communes.
Déployer des solutions de sécurité avec des capacités pour enregistrer et surveiller le comportement des routeurs.
Les dispositifs de fin de vie devraient être supprimés et remplacés par des modèles pris en charge qui peuvent être mis à jour pour une sécurité maximale.
Tout trafic passant par les routeurs doit être crypté de sorte que même l’interception ne le rend pas exploitable.
Lire la suite : Intrusion detection policy (TechRepublic Premium)
Divulgation : Je travaille pour Trend Micro, mais les vues exprimées dans cet article sont à moi.
### Cybersecurity Insider Newsletter
Renforcer les défenses de sécurité de votre organisation en gardant au courant des dernières nouvelles, solutions et pratiques de cybersécurité.
Livré mardi et jeudi Inscrivez-vous aujourd’hui