{"id":227911,"date":"2022-06-28T14:12:30","date_gmt":"2022-06-28T16:12:30","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-logiciel-malveillant-zuorat-detourne-les-routeurs-du-bureau-a-domicile-pour-espionner-les-reseaux-cibles\/"},"modified":"2022-06-28T14:12:30","modified_gmt":"2022-06-28T16:12:30","slug":"le-logiciel-malveillant-zuorat-detourne-les-routeurs-du-bureau-a-domicile-pour-espionner-les-reseaux-cibles","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-logiciel-malveillant-zuorat-detourne-les-routeurs-du-bureau-a-domicile-pour-espionner-les-reseaux-cibles\/","title":{"rendered":"Le logiciel malveillant ZuoRAT d\u00e9tourne les routeurs du bureau \u00e0 domicile pour espionner les r\u00e9seaux cibl\u00e9s"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance in\u00e9dit appel\u00e9 <b>ZuoRAT<\/b> a distingu\u00e9 les routeurs pour petits bureaux\/bureaux \u00e0 domicile (SOHO) dans le cadre d&#8217;une campagne sophistiqu\u00e9e ciblant les r\u00e9seaux nord-am\u00e9ricains et europ\u00e9ens.<\/p>\n<p>Le logiciel malveillant &#8220;accorde \u00e0 l&#8217;acteur la possibilit\u00e9 de pivoter vers le r\u00e9seau local et d&#8217;acc\u00e9der \u00e0 des syst\u00e8mes suppl\u00e9mentaires sur le r\u00e9seau local en d\u00e9tournant les communications r\u00e9seau pour maintenir une pr\u00e9sence non d\u00e9tect\u00e9e&#8221;, ont d\u00e9clar\u00e9 des chercheurs de Lumen Black Lotus Labs dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<p>L&#8217;op\u00e9ration furtive, qui ciblait les routeurs d&#8217;ASUS, Cisco, DrayTek et NETGEAR, aurait commenc\u00e9 au d\u00e9but de 2020 au cours des premiers mois de la pand\u00e9mie de COVID-19, restant effectivement sous le radar pendant plus de deux ans.<\/p>\n<p>&#8220;Les consommateurs et les employ\u00e9s distants utilisent r\u00e9guli\u00e8rement des routeurs SOHO, mais ces appareils sont rarement surveill\u00e9s ou corrig\u00e9s, ce qui en fait l&#8217;un des points les plus faibles du p\u00e9rim\u00e8tre d&#8217;un r\u00e9seau&#8221;, a d\u00e9clar\u00e9 l&#8217;\u00e9quipe de renseignement sur les menaces de l&#8217;entreprise.<\/p>\n<p>L&#8217;acc\u00e8s initial aux routeurs est obtenu en recherchant les failles connues non corrig\u00e9es pour charger l&#8217;outil d&#8217;acc\u00e8s \u00e0 distance, en l&#8217;utilisant pour acc\u00e9der au r\u00e9seau et en abandonnant un chargeur de shellcode de la prochaine \u00e9tape qui est utilis\u00e9 pour fournir Cobalt Strike et des portes d\u00e9rob\u00e9es personnalis\u00e9es telles que CBeacon et GoBeacon qui sont capables d&#8217;ex\u00e9cuter des commandes arbitraires.<\/p>\n<p>En plus de permettre une reconnaissance approfondie des r\u00e9seaux cibles, la collecte de trafic et le piratage des communications r\u00e9seau, le logiciel malveillant a \u00e9t\u00e9 d\u00e9crit comme une version fortement modifi\u00e9e du botnet Mirai, dont le code source a \u00e9t\u00e9 divulgu\u00e9 en octobre 2016.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Logiciel malveillant ZuoRAT\" border=\"0\" data-original-height=\"428\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/06\/1656432749_413_Le-logiciel-malveillant-ZuoRAT-detourne-les-routeurs-du-bureau-a.jpg\" title=\"Logiciel malveillant ZuoRAT\" \/><\/div>\n<p>&#8220;ZuoRAT est un fichier MIPS compil\u00e9 pour les routeurs SOHO qui peut \u00e9num\u00e9rer un h\u00f4te et un LAN interne, capturer les paquets transmis sur l&#8217;appareil infect\u00e9 et effectuer des attaques par personne du milieu (d\u00e9tournement DNS et HTTPS bas\u00e9 sur des r\u00e8gles pr\u00e9d\u00e9finies)&#8221; ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>Une fonction est \u00e9galement incluse pour collecter les connexions TCP sur les ports 21 et 8443, qui sont associ\u00e9es au FTP et \u00e0 la navigation Web, permettant potentiellement \u00e0 l&#8217;adversaire de garder un \u0153il sur l&#8217;activit\u00e9 Internet des utilisateurs derri\u00e8re le routeur compromis.<\/p>\n<p>D&#8217;autres capacit\u00e9s de ZuoRAT permettent aux attaquants de surveiller le trafic DNS et HTTPS dans le but de d\u00e9tourner les requ\u00eates et de rediriger les victimes vers des domaines malveillants en utilisant des r\u00e8gles pr\u00e9d\u00e9finies qui sont g\u00e9n\u00e9r\u00e9es et stock\u00e9es dans des r\u00e9pertoires temporaires pour tenter de r\u00e9sister \u00e0 l&#8217;analyse m\u00e9dico-l\u00e9gale.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Piratage de routeur\" border=\"0\" data-original-height=\"279\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/06\/1656432750_804_Le-logiciel-malveillant-ZuoRAT-detourne-les-routeurs-du-bureau-a.jpg\" title=\"Piratage de routeur\" \/><\/div>\n<p>Ce n&#8217;est pas la seule mesure prise par les pirates pour dissimuler leurs activit\u00e9s, car les attaques reposent sur une infrastructure C2 obscurcie \u00e0 plusieurs \u00e9tapes qui implique l&#8217;utilisation d&#8217;un serveur priv\u00e9 virtuel pour supprimer l&#8217;exploit RAT initial et tirer parti des routeurs compromis eux-m\u00eames en tant que serveurs proxy C2. .<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Pour \u00e9viter davantage la d\u00e9tection, le serveur de transfert a \u00e9t\u00e9 rep\u00e9r\u00e9 h\u00e9bergeant un contenu apparemment inoffensif, dans un cas imitant un site Web appel\u00e9 &#8220;muhsinlar.net&#8221;, un <a rel=\"nofollow noopener\" href=\"https:\/\/gnet-research.org\/2021\/05\/25\/mapping-the-turkestan-islamic-partys-online-propaganda-networks\/\" target=\"_blank\">portail de propagande<\/a> mis en place pour le parti islamique du Turkestan (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Turkistan_Islamic_Party\" target=\"_blank\">POINTE<\/a>), un groupe extr\u00e9miste ou\u00efghour originaire de Chine. <\/p>\n<p>L&#8217;identit\u00e9 du collectif adverse derri\u00e8re la campagne reste inconnue, bien qu&#8217;une analyse des artefacts ait r\u00e9v\u00e9l\u00e9 de possibles r\u00e9f\u00e9rences \u00e0 la province chinoise de Xiancheng et l&#8217;utilisation de Yuque et Tencent d&#8217;Alibaba pour le commandement et le contr\u00f4le (C2).<\/p>\n<p>La nature \u00e9labor\u00e9e et \u00e9vasive de l&#8217;op\u00e9ration, associ\u00e9e aux tactiques utilis\u00e9es dans les attaques pour rester sous couverture, indique une activit\u00e9 potentielle de l&#8217;\u00c9tat-nation, a not\u00e9 Black Lotus Labs.<\/p>\n<p>&#8220;Les capacit\u00e9s d\u00e9montr\u00e9es dans cette campagne &#8211; acc\u00e9der \u00e0 des appareils SOHO de diff\u00e9rentes marques et mod\u00e8les, collecter des informations sur l&#8217;h\u00f4te et le r\u00e9seau local pour informer le ciblage, l&#8217;\u00e9chantillonnage et le d\u00e9tournement des communications r\u00e9seau afin d&#8217;obtenir un acc\u00e8s potentiellement persistant aux appareils terrestres et \u00e0 une infrastructure C2 intentionnellement furtive tirant parti de plusieurs \u00e9tapes communications cloisonn\u00e9es de routeur \u00e0 routeur &#8211; indique un acteur hautement sophistiqu\u00e9 \u00bb, ont conclu les chercheurs.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/zuorat-malware-hijacking-home-office.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance in\u00e9dit appel\u00e9 ZuoRAT a distingu\u00e9 les routeurs pour petits bureaux\/bureaux \u00e0 domicile (SOHO) dans le cadre d&#8217;une campagne sophistiqu\u00e9e ciblant les r\u00e9seaux nord-am\u00e9ricains et europ\u00e9ens. Le logiciel malveillant &#8220;accorde \u00e0 l&#8217;acteur la possibilit\u00e9 de pivoter vers le r\u00e9seau local et d&#8217;acc\u00e9der \u00e0 des syst\u00e8mes suppl\u00e9mentaires sur le r\u00e9seau [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":227912,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1033,9589,4168,4158,4165,4161,14825,171,36098,4157,4159,4171,4170,65,6816,4167,7733,4160,4163,4162,185,1769,29603,4172,4169,4166,4164,83771],"class_list":["post-227911","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-bureau","tag-cibles","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-detourne","tag-domicile","tag-espionner","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-malveillant","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pour","tag-reseaux","tag-routeurs","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-zuorat"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/227911","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=227911"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/227911\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/227912"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=227911"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=227911"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=227911"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}