{"id":829859,"date":"2023-07-14T06:29:38","date_gmt":"2023-07-14T08:29:38","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-nouveau-botnet-de-routeur-soho-avrecon-setend-a-70-000-appareils-dans-20-pays\/"},"modified":"2023-07-14T06:29:41","modified_gmt":"2023-07-14T08:29:41","slug":"le-nouveau-botnet-de-routeur-soho-avrecon-setend-a-70-000-appareils-dans-20-pays","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-nouveau-botnet-de-routeur-soho-avrecon-setend-a-70-000-appareils-dans-20-pays\/","title":{"rendered":"Le nouveau botnet de routeur SOHO AVrecon s&#8217;\u00e9tend \u00e0 70 000 appareils dans 20 pays"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">14 juil. 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 r\u00e9seau \/ Logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Une nouvelle souche de logiciels malveillants a \u00e9t\u00e9 d\u00e9couverte secr\u00e8tement ciblant les routeurs des petits bureaux\/bureaux \u00e0 domicile (SOHO) pendant plus de deux ans, infiltrant plus de 70 000 appareils et cr\u00e9ant un botnet avec 40 000 n\u0153uds couvrant 20 pays.<\/p>\n<p>Lumen Black Lotus Labs a surnomm\u00e9 le malware <strong>AVrecon<\/strong>ce qui en fait la troisi\u00e8me vari\u00e9t\u00e9 de ce type \u00e0 se concentrer sur les routeurs SOHO apr\u00e8s ZuoRAT et HiatusRAT au cours de l&#8217;ann\u00e9e \u00e9coul\u00e9e.<\/p>\n<p>&#8220;Cela fait d&#8217;AVrecon l&#8217;un des plus grands botnets ciblant les routeurs SOHO jamais vus&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.lumen.com\/routers-from-the-underground-exposing-avrecon\/\" target=\"_blank\">a dit<\/a>.  &#8220;Le but de la campagne semble \u00eatre la cr\u00e9ation d&#8217;un r\u00e9seau secret pour permettre discr\u00e8tement une gamme d&#8217;activit\u00e9s criminelles allant de la pulv\u00e9risation de mots de passe \u00e0 la fraude publicitaire num\u00e9rique.&#8221;<\/p>\n<p>La majorit\u00e9 des infections se situent au Royaume-Uni et aux \u00c9tats-Unis, suivis par l&#8217;Argentine, le Nigeria, le Br\u00e9sil, l&#8217;Italie, le Bangladesh, le Vietnam, l&#8217;Inde, la Russie et l&#8217;Afrique du Sud, entre autres.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>AVrecon \u00e9tait <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/sethkinghi\/status\/1397814848549900288\" target=\"_blank\">d&#8217;abord mis en \u00e9vidence<\/a> par le chercheur principal en s\u00e9curit\u00e9 de Kaspersky Ye (Seth) Jin en mai 2021, indiquant que le logiciel malveillant a r\u00e9ussi \u00e0 \u00e9viter la d\u00e9tection jusqu&#8217;\u00e0 pr\u00e9sent.<\/p>\n<p>Dans la cha\u00eene d&#8217;attaque d\u00e9taill\u00e9e par Lumen, une infection r\u00e9ussie est suivie de l&#8217;\u00e9num\u00e9ration du routeur SOHO de la victime et de l&#8217;exfiltration de ces informations vers un serveur de commande et de contr\u00f4le (C2) int\u00e9gr\u00e9.<\/p>\n<p>Il v\u00e9rifie \u00e9galement si d&#8217;autres instances de logiciels malveillants sont d\u00e9j\u00e0 en cours d&#8217;ex\u00e9cution sur l&#8217;h\u00f4te en recherchant les processus existants sur le port 48102 et en ouvrant un \u00e9couteur sur ce port.  Un processus li\u00e9 \u00e0 ce port est termin\u00e9.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/07\/1689323378_404_Le-nouveau-botnet-de-routeur-SOHO-AVrecon-setend-a-70.jpg\" alt=\"Botnet routeur SOHO\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" title=\"Botnet routeur SOHO\"\/><\/div>\n<p>L&#8217;\u00e9tape suivante implique que le syst\u00e8me compromis \u00e9tablisse un contact avec un serveur s\u00e9par\u00e9, appel\u00e9 serveur C2 secondaire, pour attendre d&#8217;autres commandes.  Lumen a d\u00e9clar\u00e9 avoir identifi\u00e9 15 de ces serveurs uniques qui sont actifs depuis au moins octobre 2021.<\/p>\n<p>Il convient de noter que l&#8217;infrastructure C2 \u00e0 plusieurs niveaux est r\u00e9pandue parmi les botnets notoires tels que <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2023\/07\/06\/whats-up-with-emotet\/\" target=\"_blank\">\u00e9motic\u00f4ne<\/a> et QakBot.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Bouclier contre les menaces internes\u00a0: ma\u00eetriser la gestion de la posture de s\u00e9curit\u00e9 SaaS<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Inquiet des menaces internes ?  Nous avons ce qu&#8217;il vous faut!  Rejoignez ce webinaire pour explorer les strat\u00e9gies pratiques et les secrets de la s\u00e9curit\u00e9 proactive avec la gestion de la posture de s\u00e9curit\u00e9 SaaS.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-button\">Joignez aujourd&#8217;hui<\/a><\/section>\n<p>AVrecon est \u00e9crit dans le langage de programmation C, ce qui facilite le portage du malware pour diff\u00e9rentes architectures.  De plus, l&#8217;une des raisons essentielles pour lesquelles de telles attaques fonctionnent est qu&#8217;elles exploitent une infrastructure en p\u00e9riph\u00e9rie qui ne prend g\u00e9n\u00e9ralement pas en charge les solutions de s\u00e9curit\u00e9.<\/p>\n<p>Les preuves recueillies jusqu&#8217;\u00e0 pr\u00e9sent indiquent que le botnet est utilis\u00e9 pour cliquer sur diverses publicit\u00e9s Facebook et Google, et pour interagir avec Microsoft Outlook.  Cela indique probablement un effort \u00e0 deux volets pour mener une fraude publicitaire et une exfiltration de donn\u00e9es.<\/p>\n<p>&#8220;Le mode d&#8217;attaque semble se concentrer principalement sur le vol de bande passante &#8211; sans affecter les utilisateurs finaux &#8211; afin de cr\u00e9er un service proxy r\u00e9sidentiel pour aider \u00e0 blanchir les activit\u00e9s malveillantes et \u00e9viter d&#8217;attirer le m\u00eame niveau d&#8217;attention de la part des services cach\u00e9s par Tor ou des services VPN disponibles dans le commerce. &#8220;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/new-soho-router-botnet-avrecon-spreads.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80214 juil. 2023\ue804THNS\u00e9curit\u00e9 r\u00e9seau \/ Logiciels malveillants Une nouvelle souche de logiciels malveillants a \u00e9t\u00e9 d\u00e9couverte secr\u00e8tement ciblant les routeurs des petits bureaux\/bureaux \u00e0 domicile (SOHO) pendant plus de deux ans, infiltrant plus de 70 000 appareils et cr\u00e9ant un botnet avec 40 000 n\u0153uds couvrant 20 pays. Lumen Black Lotus Labs a surnomm\u00e9 le [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":829860,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8737,173826,5464,4168,4158,4165,4161,429,4157,4159,4171,4170,4167,4160,680,4163,4162,1480,45102,4172,4169,8176,73487,4166,4164],"class_list":["post-829859","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-appareils","tag-avrecon","tag-botnet","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pays","tag-routeur","tag-securite-informatique","tag-securite-internet","tag-setend","tag-soho","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/829859","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=829859"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/829859\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/829860"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=829859"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=829859"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=829859"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}