{"id":1170852,"date":"2024-02-28T19:32:27","date_gmt":"2024-02-28T21:32:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-agences-de-cybersecurite-avertissent-les-utilisateurs-dubiquiti-edgerouter-de-la-menace-moobot-dapt28\/"},"modified":"2024-02-28T19:32:32","modified_gmt":"2024-02-28T21:32:32","slug":"les-agences-de-cybersecurite-avertissent-les-utilisateurs-dubiquiti-edgerouter-de-la-menace-moobot-dapt28","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-agences-de-cybersecurite-avertissent-les-utilisateurs-dubiquiti-edgerouter-de-la-menace-moobot-dapt28\/","title":{"rendered":"Les agences de cybers\u00e9curit\u00e9 avertissent les utilisateurs d’Ubiquiti EdgeRouter de la menace MooBot d’APT28"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>28 f\u00e9vrier 2024<\/span>\ue804<\/i>R\u00e9daction<\/span><\/span>S\u00e9curit\u00e9\/vuln\u00e9rabilit\u00e9 du micrologiciel<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Dans un nouvel avis conjoint, les agences de cybers\u00e9curit\u00e9 et de renseignement des \u00c9tats-Unis et d’autres pays exhortent les utilisateurs d’Ubiquiti EdgeRouter \u00e0 prendre des mesures de protection, des semaines apr\u00e8s qu’un botnet comprenant des routeurs infect\u00e9s ait \u00e9t\u00e9 abattu par les forces de l’ordre dans le cadre d’une op\u00e9ration nomm\u00e9e Dying Ember.<\/p>\n

Le botnet, nomm\u00e9 MooBot, aurait \u00e9t\u00e9 utilis\u00e9 par un acteur malveillant li\u00e9 \u00e0 la Russie, connu sous le nom d’APT28, pour faciliter des cyberop\u00e9rations secr\u00e8tes et supprimer des logiciels malveillants personnalis\u00e9s en vue d’une exploitation ult\u00e9rieure. L’APT28, affili\u00e9e \u00e0 la Direction g\u00e9n\u00e9rale de l’\u00e9tat-major russe (GRU), est connue pour \u00eatre active depuis au moins 2007.<\/p>\n

Les acteurs APT28 ont “utilis\u00e9 des EdgeRouters compromis \u00e0 l’\u00e9chelle mondiale pour r\u00e9colter des informations d’identification, collecter des r\u00e9sum\u00e9s NTLMv2, du trafic r\u00e9seau proxy et h\u00e9berger des pages de destination de spear phishing et des outils personnalis\u00e9s”, selon les autorit\u00e9s. dit<\/a> [PDF].<\/p>\n

L’utilisation des EdgeRouters par l’adversaire remonte \u00e0 2022, avec des attaques ciblant les secteurs de l’a\u00e9rospatiale et de la d\u00e9fense, de l’\u00e9ducation, de l’\u00e9nergie et des services publics, des gouvernements, de l’h\u00f4tellerie, de l’industrie manufacturi\u00e8re, du p\u00e9trole et du gaz, de la vente au d\u00e9tail, de la technologie et des transports en R\u00e9publique tch\u00e8que, en Italie, en Lituanie, Jordanie, Mont\u00e9n\u00e9gro, Pologne, Slovaquie, Turquie, Ukraine, \u00c9mirats arabes unis et \u00c9tats-Unis<\/p>\n

\"La<\/a><\/center><\/div>\n

Les attaques MooBot impliquent de cibler des routeurs avec des informations d’identification par d\u00e9faut ou faibles pour d\u00e9ployer des chevaux de Troie OpenSSH, APT28 acqu\u00e9rant cet acc\u00e8s pour fournir un script bash et d’autres binaires ELF pour collecter des informations d’identification, le trafic r\u00e9seau proxy, h\u00e9berger des pages de phishing et d’autres outils.<\/p>\n

Cela inclut des scripts Python pour t\u00e9l\u00e9charger les informations d’identification de compte appartenant \u00e0 des utilisateurs de messagerie Web sp\u00e9cifiquement cibl\u00e9s, qui sont collect\u00e9es via des scripts intersites et des campagnes de spear phishing navigateur dans le navigateur (BitB).<\/p>\n

APT28 a \u00e9galement \u00e9t\u00e9 li\u00e9 \u00e0 l’exploitation de CVE-2023-23397 (score CVSS : 9,8), une faille d’\u00e9l\u00e9vation de privil\u00e8ges critique d\u00e9sormais corrig\u00e9e dans Microsoft Outlook qui pourrait permettre le vol de hachages NT LAN Manager (NTLM) et monter une attaque par relais. sans n\u00e9cessiter aucune interaction de l\u2019utilisateur.<\/p>\n

Un autre outil de son arsenal de logiciels malveillants est MASEPIE, une porte d\u00e9rob\u00e9e Python capable d’ex\u00e9cuter des commandes arbitraires sur les machines victimes en utilisant des EdgeRouters Ubiquiti compromis comme infrastructure de commande et de contr\u00f4le (C2).<\/p>\n

“Gr\u00e2ce \u00e0 un acc\u00e8s root aux Ubiquiti EdgeRouters compromis, les acteurs APT28 b\u00e9n\u00e9ficient d’un acc\u00e8s illimit\u00e9 aux syst\u00e8mes d’exploitation bas\u00e9s sur Linux pour installer des outils et dissimuler leur identit\u00e9 tout en menant des campagnes malveillantes”, ont not\u00e9 les agences.<\/p>\n

\"La<\/a><\/center><\/div>\n

Il est recommand\u00e9 aux organisations d’effectuer une r\u00e9initialisation mat\u00e9rielle des routeurs pour vider les syst\u00e8mes de fichiers des fichiers malveillants, mettre \u00e0 niveau vers la derni\u00e8re version du micrologiciel, modifier les informations d’identification par d\u00e9faut et mettre en \u0153uvre des r\u00e8gles de pare-feu pour emp\u00eacher l’exposition des services de gestion \u00e0 distance.<\/p>\n

Ces r\u00e9v\u00e9lations sont le signe que les pirates informatiques des \u00c9tats-nations s’appuient de plus en plus sur les routeurs comme rampe de lancement pour leurs attaques, les utilisant pour cr\u00e9er des r\u00e9seaux de zombies tels que VPNFilter, Cyclops Blink et KV-botnet et mener leurs activit\u00e9s malveillantes.<\/p>\n

Le bulletin arrive un jour apr\u00e8s que les pays Five Eyes ont appel\u00e9 APT29 \u2013 le groupe de menace affili\u00e9 au Service de renseignement ext\u00e9rieur russe (SVR) et l’entit\u00e9 derri\u00e8re les attaques contre SolarWinds, Microsoft et HPE \u2013 pour avoir utilis\u00e9 des comptes de service et des comptes dormants pour acc\u00e9der au cloud. environnements dans les organisations cibles.<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n