Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9voil\u00e9 un logiciel malveillant personnalis\u00e9 auparavant non document\u00e9 et furtif appel\u00e9 ChaussetteD\u00e9tour<\/b> qui ciblait les sous-traitants de la d\u00e9fense bas\u00e9s aux \u00c9tats-Unis dans le but d’\u00eatre utilis\u00e9 comme implant secondaire sur des h\u00f4tes Windows compromis.<\/p>\n
“SockDetour est une porte d\u00e9rob\u00e9e qui est con\u00e7ue pour rester furtivement sur les serveurs Windows compromis afin qu’elle puisse servir de porte d\u00e9rob\u00e9e de secours en cas de d\u00e9faillance de la principale,” Unit 41 Threat Intelligence de Palo Alto Networks. mentionn\u00e9<\/a> dans un rapport publi\u00e9 jeudi. “Il est difficile \u00e0 d\u00e9tecter, car il fonctionne sans fichier et sans socket sur des serveurs Windows compromis.”<\/p>\n Plus inqui\u00e9tant encore, on pense que SockDetour a \u00e9t\u00e9 utilis\u00e9 dans des attaques depuis au moins juillet 2019, sur la base d’un horodatage de compilation sur l’\u00e9chantillon, ce qui implique que la porte d\u00e9rob\u00e9e a r\u00e9ussi \u00e0 \u00e9chapper \u00e0 la d\u00e9tection pendant plus de deux ans et demi.<\/p>\n Les attaques ont \u00e9t\u00e9 attribu\u00e9es \u00e0 un cluster de menaces qu’il suit sous le nom de TiltedTemple (alias DEV-0322 par Microsoft), qui est d\u00e9sign\u00e9 surnom pour un groupe de piratage op\u00e9rant en Chine et a jou\u00e9 un r\u00f4le d\u00e9terminant dans l’exploitation des failles zero-day dans Zoho ManageEngine ADSelfService Plus et ServiceDesk. Plus les d\u00e9ploiements comme rampe de lancement pour les attaques de logiciels malveillants l’ann\u00e9e derni\u00e8re.<\/p>\n Les liens avec TiltedTemple proviennent de chevauchements dans l’infrastructure d’attaque, l’un des serveurs de commande et de contr\u00f4le (C2) qui a \u00e9t\u00e9 utilis\u00e9 pour faciliter la distribution de logiciels malveillants pour les campagnes de fin 2021 h\u00e9bergeant \u00e9galement la porte d\u00e9rob\u00e9e SockDetour, aux c\u00f4t\u00e9s d’un utilitaire de vidage de m\u00e9moire et de nombreux shells Web pour l’acc\u00e8s \u00e0 distance.<\/p>\n L’unit\u00e9 42 a d\u00e9clar\u00e9 avoir d\u00e9couvert des preuves d’au moins quatre sous-traitants de la d\u00e9fense cibl\u00e9s par la nouvelle vague d’attaques, entra\u00eenant la compromission de l’un d’entre eux.<\/p>\n Les intrusions sont \u00e9galement ant\u00e9rieures d’un mois aux attaques qui se sont produites via les serveurs Zoho ManageEngine compromis en ao\u00fbt 2021. L’analyse de la campagne a r\u00e9v\u00e9l\u00e9 que SockDetour a \u00e9t\u00e9 livr\u00e9 d’un serveur FTP externe au serveur Windows Internet d’un entrepreneur de la d\u00e9fense bas\u00e9 aux \u00c9tats-Unis le 27 juillet 2021.<\/p>\n “Le serveur FTP qui h\u00e9bergeait SockDetour \u00e9tait un serveur de stockage en r\u00e9seau (NAS) compromis du fournisseur QNAP (Quality Network Appliance Provider) pour les petits bureaux et les bureaux \u00e0 domicile (SOHO) “, ont soulign\u00e9 les chercheurs. “Le serveur NAS est connu pour avoir de multiples vuln\u00e9rabilit\u00e9s, y compris un ex\u00e9cution de code \u00e0 distance<\/a> vuln\u00e9rabilit\u00e9, CVE-2021-28799.”<\/p>\n De plus, le m\u00eame serveur aurait d\u00e9j\u00e0 \u00e9t\u00e9 infect\u00e9 par le ran\u00e7ongiciel QLocker, ce qui soul\u00e8ve la possibilit\u00e9 que l’acteur de TiltedTemple ait exploit\u00e9 la faille susmentionn\u00e9e pour obtenir un acc\u00e8s initial non autoris\u00e9.<\/p>\n SockDetour, pour sa part, est con\u00e7u comme une porte d\u00e9rob\u00e9e qui d\u00e9tourne les sockets r\u00e9seau des processus l\u00e9gitimes pour \u00e9tablir son propre canal C2 crypt\u00e9, suivi du chargement d’un fichier DLL de plug-in non identifi\u00e9 r\u00e9cup\u00e9r\u00e9 sur le serveur.<\/p>\n “Ainsi, SockDetour ne n\u00e9cessite ni l’ouverture d’un port d’\u00e9coute \u00e0 partir duquel recevoir une connexion ni l’appel \u00e0 un r\u00e9seau externe pour \u00e9tablir un canal C2 distant”, ont d\u00e9clar\u00e9 les chercheurs. “Cela rend la porte d\u00e9rob\u00e9e plus difficile \u00e0 d\u00e9tecter \u00e0 la fois au niveau de l’h\u00f4te et du r\u00e9seau.”<\/p>\n <\/p>\n<\/div>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/1645701000_960_Dridex-Malware-Deploiement-Entropy-Ransomware-sur-des-ordinateurs-pirates.png\")
<\/a><\/div>\n<\/a><\/div>\n